从组策略中排除特定用户或计算机

有几种方法可以防止某些组策略对象（GPO）设置应用于Active Directory中的特定用户和/或计算机：

• 使用GPO安全过滤控制哪些广告对象可以应用策略（最简单，最方便的选项）
• 使用使用GPO的范围WMI过滤器
• 项目级定位小组策略中的例外。这仅适用于通过组策略首选项配置的GPO设置。

让我们考虑一个方案，您需要在其中防止配置Windows Update设置的组策略将其应用于特定计算机。在此示例中，所有计算机都位于一个称为工作站的OU中，已分配了GPO_WSUS_WORKSTATITS GPO。

首先，在AD（gpo_wsus_workstations_excl）中创建一个单独的安全组，然后添加要从组策略对象范围中排除的计算机或用户帐户。

1. 打开域组策略管理控制台（gpmc.msc）
2. 选择所需的GPO，转到代表团标签，然后单击添加按钮。
   
3. 默认情况下，GPO适用于所有广告对象（身份验证的用户组）
4. 输入要从组策略中排除的组，用户或计算机的名称
5. 单击先进的按钮并设置否定为了申请小组政策允许
   
6. 这将防止这些组策略设置应用于指定组中的任何AD对象。拒绝权限优先于允许权限。因此，即使允许经过身份验证的用户组应用该策略，拒绝许可也更高的优先级。

更新客户端上的GPO设置（最好重新启动计算机以刷新广告组成员资格）。接下来，打开命令提示符，并通过运行以下命令来生成应用GPO的报告：

gpresult /r

该报告表明，由于安全设置阻止了该计算机，因此WSUS策略没有应用于该计算机：

The following GPOs were not applied because they were filtered out
WSUS_workstations
Filtering: Denied (Security)

要将另一台计算机添加到此GPO的排除中，只需将其帐户添加到gpo_WSUS_workstations_excl组并重新启动计算机。

为GPO创建例外方法的此方法的缺点是，管理员必须手动从组中排除的组中添加或删除组中的用户/计算机。如果您希望根据某些动态属性自动从策略范围中添加/删除用户或计算机，则可以使用AD动态组概念或WMI GPO过滤器。

更多阅读：如何将本地组策略应用于Windows 11中的特定用户

WMI过滤器背后的想法是创建一个WQL查询来定义策略适用的对象。例如，您可能希望该策略以关键字排除计算机'am'在他们的主机名中。这可以通过使用以下WMI查询来实现：

SELECT * FROM Win32_ComputerSystem WHERE NOT (Name LIKE '%adm%')

在GPMC控制台中创建此WMI过滤器，然后将其链接到GPO。

现在，每台计算机将在启动时检查WMI查询，如果不匹配，则将不应用策略。

还有另一种方法可以为GPO中的特定用户和计算机创建异常。如果您使用的是位于组策略首选项（GPP）部分中的GPO设置，则可以使用项目级目标进行策略例外。

在“公共”选项卡上的任何GPP项目的设置中，您需要启用项目级定位和配置IS-NOT定义应用此GPO参数的例外规则。在此示例中，我们为特定的广告组和计算机配置了GPP异常。