Differences

This shows you the differences between two versions of the page.

--- работа_с_gpo [2024/06/26 13:43] – jp
+++ работа_с_gpo [2025/01/31 17:12] (current) – jp
@@ Line 93: / Line 93: @@
 Добавляем сюда либо группу: //domain_name\Remote Desktop Users//, либо конкретного пользователя, которому мы добавляем доступ.
-{{tag>ActiveDirectory Microsoft}}
+----
+=== Исключить объект из GPO ===
+Самый простой способ исключить конкретный объект из GPO, не перемещая его в какой-либо OU - добавить на этот объект //deny// для //apply group policy// в свойствах безопасности конкретной политики. //Deny// имеет более высокий приоритет, поэтому разрешающие права для этого объекта отрабатываться не будут, а будет применена настройка //deny//.
+;#;
+{{:wiki:gpo_deny_object.jpg?400|}}
+;#;
+----
+=== Найти парольную политику ===
+Представим ситуацию, что мы хотим выяснить - откуда берется парольная политика. К примеру, в домене, очевидно назначены требования к паролю, но в прямых объектах GPO вроде //Default Domain Policy// эти параметры не заданы.
+В таком случае нам помогут несколько PS-командлетов. Выясним источник парольной политики:
+   import-module ActiveDirectory
+   Get-ADDefaultDomainPasswordPolicy
+В выводе мы увидим GUID объекта GPO, откуда растёт парольная политика. Скопируем его.
+;#;
+{{:wiki:pass_gpo_investig.jpg|}}
+;#;
+Теперь можно попробовать поискать объект GPO по найденному GUID, указав и домен:
+   import-Module GroupPolicy
+   Get-GPO -Guid 889773BC-F748-4030-B41B-D5FCCAAF9834 -Domain contoso.com
+{{tag>ActiveDirectory Microsoft GPO}}