Существует несколько способов, позволяющих запретить применение политики к конкретному объекту домена Active Directory. В принципе это достаточно простая процедура, но следует отметить, что нужно пользоваться ей внимательно, предпочтительнее через членство в группе (вы включаете в группу AD тех пользователей и компьютеры, к которым не должна применяться политика).
1. Откройте консоль управления политиками (Group Policy Management Console – gpmc.msc) и найдите в ней ту политику, в которой вы хотите сделать исключения, перейдите на вкладку делегирования (“Delegation”) и нажмите кнопку “Advanced”.
2. Нажмите кнопку “Add” и выберите группу (рекомендуется использовать именно группу, а не конкретного пользователя или компьютер), которую вы хотите исключить из-под действия групповой политики.
3. В данном примере я исключу группу “Users GPO Exceptions”. Укажите имя группы и в разделе разрешений для “Apply Group Policy” укажите “Deny”.
Теперь к членам группы “User GPO Exceptions” перестанет применяться групповая политика. Использование группы безопасности для контроля исключений из групповой политики – является оптимальным решением, ведь чтобы заблокировать применение политики, нужно просто добавить нужного пользователя или компьютер в группу. Кроме того, это удобно для служб техподдержки, которые самостоятельно могут диагностировать работу исключений из групповой политики, просто просмотрев состав этой группы.