從組策略中排除特定用戶或計算機

有多種方法可以防止某些組策略對象 (GPO) 設置應用於 Active Directory 中的特定用戶和/或計算機：

• 使用GPO安全過濾控制哪些 AD 對象可以應用該策略（最簡單、最方便的選項）
• 使用過濾 GPO 的範圍WMI 過濾器
• 項目級定位組策略中的例外情況。這僅適用於通過組策略首選項配置的 GPO 設置。

推薦閱讀：如何查看應用於 Windows 10 用戶的組策略

讓我們考慮一個場景，您需要阻止配置 Windows 更新設置的組策略應用於特定計算機。在此示例中，所有計算機都位於名為 Workstations 的 OU 中，已為其分配了 gpo_WSUS_workstations GPO。

首先，在 AD 中創建一個單獨的安全組 (gpo_WSUS_workstations_excl)，並添加要從組策略對象範圍中排除的計算機或用戶帳戶。

1. 打開域組策略管理控制台（gpmc.msc）
2. 選擇所需的 GPO，轉至代表團選項卡，然後單擊添加按鈕。
   
3. 默認情況下，GPO 適用於所有 AD 對象（經過身份驗證的用戶組）
4. 輸入要從組策略中排除的組、用戶或計算機的名稱
5. 單擊先進的按鈕並設置否定為了應用組策略允許
   
6. 這將阻止這些組策略設置應用於指定組中的任何 AD 對象。拒絕權限優先於允許權限。因此，儘管允許 Authenticated Users 組應用該策略，但 Deny 權限具有更高的優先級。

更新客戶端上的 GPO 設置（最好重新啟動計算機以刷新 AD 組成員身份）。接下來，打開命令提示符並通過運行以下命令生成已應用 GPO 的報告：

gpresult /r

此報告顯示 WSUS 策略未應用於此計算機，因為安全設置阻止它：

The following GPOs were not applied because they were filtered out
WSUS_workstations
Filtering: Denied (Security)

要將另一台計算機添加到此 GPO 的排除項中，只需將其帳戶添加到gpo_WSUS_workstations_excl分組並重新啟動計算機。

這種為 GPO 創建例外的方法的缺點是管理員必須手動在需要從策略中排除的組中添加或刪除用戶/計算機。如果您希望根據某些動態屬性在策略範圍中自動添加/刪除用戶或計算機，則可以使用 AD 動態組概念或 WMI GPO 篩選器。

WMI 過濾器背後的想法是創建 WQL 查詢來定義策略適用於哪些對象。例如，您可能希望策略排除帶有關鍵字“的計算機”管理員' 在他們的主機名中。這可以通過使用以下 WMI 查詢來實現：

SELECT * FROM Win32_ComputerSystem WHERE NOT (Name LIKE '%adm%')

在 GPMC 控制台中創建此 WMI 篩選器並將其鏈接到 GPO。

現在，每台計算機都會在啟動時檢查 WMI 查詢，如果不匹配，則不會應用該策略。

還有另一種方法可以為 GPO 中的特定用戶和計算機創建例外。如果您使用位於組策略首選項 (GPP) 部分中的 GPO 設置，則可以使用項目級目標設置策略例外。

在 Common 選項卡上任意 GPP 項的設置中，您需要啟用項目級定位並配置IS-NOT定義應用此 GPO 參數的例外的規則。在此示例中，我們為特定 AD 組和計算機配置了 GPP 例外。