Product SiteDocumentation Site

9.12.4. Фильтрация безопасности ГП

Фильтрация безопасности ГП (Security Filtering) предполагает выборочное применение параметров ГП к конкретным пользователям, компьютерам или группам на основе их разрешений безопасности.
По умолчанию, когда объект ГП связан с OU, он применяется ко всем пользователям и компьютерам в этой OU. Фильтрация безопасности позволяет администраторам сузить область применения объекта ГП, гарантируя, что только определенные объекты будут затронуты политиками, определенными в объекте групповой политики.
По умолчанию на всех новых объектах групповой политики в домене присутствуют разрешения для группы Authenticated Users, которая включает в себя всех пользователей и все компьютеры домена. Это означает, что данная политика будет применяться на всех компьютерах и для всех пользователей, которые попадают в область её действия.
Если необходимо сузить круг объектов, к которым будет применяться данная политика, то следует выполнить следующие действия:
  1. В контекстном меню групповой политики выбрать пункт Свойства:
    ADMC. Контекстное меню групповой политики
  2. На вкладке Безопасность у группы Authenticated Users убрать разрешение на применение групповых политик (снять отметку с пункта Применить групповые политики в столбце Разрешено):
    ADMC. Вкладка «Безопасность» свойства групповой политики
  3. Добавить объект, к которому будет применяться групповая политика. Для этого нажать Добавить… и выбрать необходимый объект (можно выбрать пользователя, компьютер или группу). В данном примере будет добавлена группа office:
    ADMC. Добавить группу как доверенное лицо
  4. Для добавленного объекта выставить разрешения Читать и Применить групповые политики и нажать кнопку Применить:
    ADMC. Разрешение на применение групповых политик

Примечание

Если выставить все разрешения, групповые политики применяться не будут.
Чтобы определенному объекту запретить применение групповой политики, следует выполнить следующие действия:
  1. В контекстном меню групповой политики выбрать пункт Свойства:
    ADMC. Контекстное меню групповой политики
  2. На вкладке Безопасность у группы Authenticated Users оставить разрешение на применение групповых политик (не снимать отметку с пункта Применить групповые политики в столбце Разрешено):
    ADMC. Вкладка «Безопасность» свойства групповой политики
  3. Добавить объект, к которому не будет применяться групповая политика. Для этого нажать Добавить… и выбрать необходимый объект (можно выбрать пользователя, компьютер или группу). В данном примере будет добавлен компьютер EDU:
    ADMC. Добавить компьютер как доверенное лицо
  4. Для добавленного объекта установить запрет применения групповых политик (установить отметку в пункте Применить групповые политики в столбце Запрещено) и нажать кнопку Применить:
    ADMC. Запрет на применение групповых политик