Я хочу установить правило для всех пользователей в домене. Правило включает экранную заставку через 15 минут, а затем пользователь должен использовать пароль для повторного входа в систему.
Все работает, но мне нужно исключить одного пользователя, который принадлежит к этой группе. Как я могу это сделать?
Вам нужно создать группу и добавить в нее всех пользователей, к которым вы хотите применить политику, и исключить этого пользователя из этой группы (не добавляйте его в группу), а затем применить эту политику к созданной вами группе. который содержит всех пользователей, которых вы добавили в эту группу, удалив аутентифицированных пользователей и заменив их созданной вами группой.
Ответ user673956 - рекомендуемый маршрут. Добавляйте только тех пользователей, к которым вы хотите применить политику.
Есть другой подход. Вы можете применить политику к людям, но затем изменить разрешения политики, чтобы запретить доступ определенному человеку (или группе, или учетной записи компьютера). MS KB 816100 предоставляет пошаговые инструкции.
Существует ключевая причина, по которой подход из ответа пользователя user673956 является предпочтительным. Разрешения «Запретить» имеют более высокий приоритет, переопределение разрешений разрешений. Если вы добавите разрешение на запрещение, нет разрешения с более высоким приоритетом для отмены запрета. Например, если вы получите больше пользователей, к которым вы не хотите применять политику, и поместите их в группу, а также запретите доступ к группе, то не будет простого способа дать другое разрешение переопределить политику только для одного пользователя. участник группы.
Как правило, если вы потратите время, чтобы применить политику только к тем людям, к которым вы хотите ее применить, вы не окажетесь в ловушке нежелательного эффекта без простого и простого способа исправить ситуацию. эта проблема. Тщательное применение политики только к тем, к кому вы хотите ее применить, может занять больше времени в краткосрочной перспективе, но в итоге вы сможете работать хорошо.
(Поскольку я обсуждаю то, что является предпочтительным, я основываю большую часть этого обсуждения на некотором обучении, которое я получил, включая публикацию, выпущенную Microsoft. Вероятно, это было официальное руководство, связанное с Windows Server 2003.)
Я думаю, что, теоретически, этот подход также ускоряет процесс, потому что компьютеру конечного пользователя не нужно пытаться захватить политику, просто чтобы выяснить, что она не должна применяться в любом случае.
Однако отказ в разрешениях для конкретной политики может быть быстрее реализован, особенно для одного пользователя в небольшой сети. Так что если вы действительно думаете, что хотите пойти по этому пути, это определенно вариант, который доступен. Это вариант, который Microsoft преподает в некоторых официальных учебных материалах, поэтому продолжайте и (осторожно решайте) использовать этот вариант, если вы решите, что именно это имеет для вас наилучший смысл.
