Один из способов модификации области обработки GPO состоит в фильтрации применения параметров групповой политики. Для этого можно использовать Security Filtering или привязать к GPO фильтр WMI.
Фильтры безопасности. По умолчанию при создании GPO параметры политики применяются ко всем прошедшим проверку пользователям. Для проверки этого параметра выберите объект GPO и перейдите на вкладку Scope (Область). Как показано на рис. 1, в разделе Security Filtering Section указано, что параметры объекта групповой политики Desktop Policy применяются ко всем членам группы Authenticated Users (Прошедшие проверку), содержащей стандартных пользователей, компьютеры и администраторов.
Рис. 1. Фильтры безопасности GPO
Фильтры безопасности можно использовать с целью специфической обработки GPO для конкретных групп безопасности пользователей и компьютеров.
Вы можете указать пользователей и компьютеры, на которых будут влиять параметры GPO, модифицируя список учетных записей в списке Security Filtering (Фильтры безопасности). Для начала удалите из списка группу Authenticated Users. Затем с помощью кнопки Add добавьте в список соответствующие учетные записи. Хотя вы можете добавить любой принципал безопасности, лучше использовать группы безопасности Active Directory, а не добавлять в этот список отдельных пользователей или компьютеры.
Вы можете просмотреть список контроля доступа ACL, открыв вкладку Delegation (Делегирование) и щелкнув кнопку Advanced (Дополнительно). В списке контроля доступа будет указано, что каждому принципалу безопасности, добавленному в список фильтров безопасности, в GPO назначаются разрешения групповой политики Allow Read и Allow Apply. На рис. 2 показан принципал безопасности Отдел продаж с разрешениями групповой политики Read (Чтение) и Apply (Применить групповую политику).
Рис. 2. Фильтрация объектов GPO с помощью списка контроля доступа
Избирательно применять параметры групповой политики к группам удобно во многих ситуациях. Например, если необходимо установить отдельный пакет программного обеспечения для пользователей, принадлежащих к группе безопасности, чьи учетные записи распределены по множеству подразделений в домене. Для того чтобы установить это приложение с помощью групповой политики, объект GPO нужно связать с объектом родительского контейнера (например, объекта домена), содержащего учетные записи всех пользователей, а затем модифицировать фильтр безопасности GPO, чтобы применять политику лишь к указанной группе, которая должна получить пакет программного обеспечения. Вы также можете привязать GPO к подразделению, но не применять его ко всем пользователям в этом OU. Для этого есть два способа. Во-первых, создать группу, содержащую все учетные записи пользователей, для которых требуются параметры групповой политики, а затем отконфигурировать только для этой группы разрешение Apply Group Policy. Во-вторых, создать группу, содержащую учетные записи всех пользователей, для которых не требуются параметры групповой политики, а затем использовать параметр Deny для разрешения Apply Group Policy, чтобы не применять политику к этим пользователям.