Как можно установить и настроить отдельные политики в Active Directory для определенных серверов, чтобы они не конфликтовали с настройками по умолчанию?

Question

Игнат

active-directory

Как можно установить и настроить отдельные политики в Active Directory для определенных серверов, чтобы они не конфликтовали с настройками по умолчанию?

Здравствуйте! У меня есть вопрос по настройке групповых политик. В Active Directory настроены политики, включая автозапуск определенного URL при запуске браузера и запуск браузера по умолчанию при входе в сеанс. Я должен отключить эти настройки для ряда серверов. Как лучше это сделать? Если я создам отдельный организационный блок (OU) с названием, например, Exceptions, и перемещу туда необходимые серверы, создав для них новую политику, будет ли этого достаточно? Не будет ли конфликта с Default Domain Policy, из-за которой моя новая пустая политика не сможет перекрыть настройки автозапуска?

31 марта 2025 г. 8:54

Ответы на вопрос 2

Похожие вопросы

Answer 1

Добрый день!

Вы на правильном пути, создавая отдельный организационный блок (OU) и перемещая туда сервера, для которых нужно изменить настройки групповых политик. Давайте подробно рассмотрим, как это сделать, чтобы избежать конфликтов с настройками по умолчанию.

1. **Создание организационного блока (OU)**:
- Создайте новый OU, например, "Exceptions", и перенесите туда те серверы, для которых вы хотите изменить настройки. Это правильный шаг, так как позволяет вам изолировать эти серверы от остальных.

2. **Создание и применение группы политик (GPO)**:
- Создайте новую группу политик (GPO) для вашего OU "Exceptions". В этой GPO вы можете задать необходимые настройки, которые будут перекрывать значения по умолчанию.
- Убедитесь, что настройки, которые вы хотите изменить (например, автозапуск URL и запуск браузера по умолчанию), настроены в вашей новой GPO.

3. **Порядок применения политик**:
- GPO применяется в следующем порядке: Local -> Site -> Domain -> OU (применяется к более специфичным объектам последовательно). Это означает, что политика, применяемая к OU, будет иметь приоритет над политикой, применяемой к домену, в том числе Default Domain Policy.
- Если ваша новая GPO для OU "Exceptions" настроена корректно, она будет иметь приоритет над настройками Default Domain Policy, если не указаны другие конфликты, например, не проявляется блокировка наследования.

4. **Блокировка наследования и фильтрация**:
- Убедитесь, что не установлена блокировка наследования политик на уровне OU "Exceptions". При необходимости вы можете установить фильтрацию по безопасности, чтобы точно настроить, какие компьютеры или пользователи могут применять определенные политики.

5. **Тестирование**:
- Проверьте на нескольких серверах в OU "Exceptions", что настройки применяются корректно. Вы можете использовать команду `gpresult /h report.html` для генерации отчета о результатах применения политик и убедиться, что именно ваша GPO применяется.

6. **Периодическое обновление политик**:
- Запустите команду `gpupdate /force` на серверах в OU, чтобы принудительно обновить групповые политики.

Следуя этим шагам, вы сможете без конфликта настроить политики для определенных серверов, и они будут работать в соответствии с вашими требованиями.

Answer 2

Вынести нужную настройку\настройки в отдельную политику GPO на том же уровне, что изначальная. Создать группу безопасности для серверов и во вкладке Delegation запретить применение политики для нужной группы. 
 
 P.S. А по этому "что даже если я создам пустую политику, зацеплю ее на OU Exceptions, то дефолтовая политика все равно перекроет? " гуглить по запросу  "LSDOU".