Как правильно применять различные параметры групповой политики для нескольких групп пользователей?

Пример сценария: Windows server 2008, домен "CompanyName". Предположим, что все пользователи переключаются между всеми ПК с перемещаемым профилем.

GP = групповая политика, GPO = объект групповой политики, OU = организационная единица.

У меня есть два подразделения внутри моего основного подразделения пользователей, как показано ниже:

CompanyName Users
    Standard Users
        UserA
        UserB
    Power Users
        UserC
        UserD

Для обычных пользователей я хочу отключить панель управления. Что я могу добиться, применяя GPO к этому OU.

Для опытных пользователей я хочу, чтобы фон был настроен на определенную картинку. Я также могу добиться хорошо.

Здесь возникает проблема: и UserA, и UserC используют программу, требующую определенных настроек брандмауэра, которые я хотел бы применить через GP. Полагаю, что помещение этого объекта групповой политики в основное подразделение (пользователи CompanyName) и фильтрация пользователей, к которым он может применяться, будет работать. Однако это правильный способ сделать это?

Какой правильный / лучший способ сделать это? Есть ли лучший способ организовать мои OU?

Putting this GPO in the main OU (CompanyName Users) then filtering the users it can apply to, I presume would work. However is this the correct way to do it?

Да. Почему ты так не думаешь?

— Ƭᴇcʜιᴇ007

Вы также можете добавить дочернюю OU и применить политику там. С включенным наследованием пользователи в этом OU получат оба набора политик. А пользователи в родительском подразделении будут применять только политики верхнего уровня. Это мой предпочтительный способ, так как он легче для обзора.

— Jens Ehrich

Это не сложно, так как вы думаете, что в первую очередь вам нужно создать отдельные группы для пользователей A, B, C, D и добавить каждого пользователя в соответствующую группу, следующее, что вам нужно сделать, это создать объект групповой политики под нужным вам подразделением. применять и назначать политику для определенных групп. Удалите аутентифицированных пользователей, которые приходят по умолчанию и к которым применен GP, и добавьте соответствующую группу в выбранный объект групповой политики. Таким образом, GP будет применяться к группе, которую вы только добавили, он будет игнорировать всех, кто не входит в добавленные вами группы , Например, если вы создали политику, ограничивающую доступ к панели управления, и применили ее к группе A, если группа B присоединится, она не будет ограничена, поскольку она не применяется к ней объектом групповой политики, поскольку вы добавили только группу A.

— Elie
источник