Active Directory-Gruppenrichtlinienobjekt ohne Benutzer

Sie müssen eine Gruppe erstellen und alle Benutzer hinzufügen, für die Sie die Richtlinie anwenden möchten, und diesen Benutzer aus dieser Gruppe ausschließen (ihn nicht der Gruppe hinzufügen). Als Nächstes müssen Sie diese Richtlinie auf die von Ihnen erstellte Gruppe anwenden Diese enthält alle Benutzer, die Sie zu dieser Gruppe hinzugefügt haben, indem Sie authentifizierte Benutzer entfernen und durch die von Ihnen erstellte Gruppe ersetzen.

Die Antwort von user673956 ist die empfohlene Route. Fügen Sie nur Benutzer hinzu, für die die Richtlinie gelten soll.

Es gibt einen anderen Ansatz. Sie können festlegen, dass die Richtlinie auf Personen angewendet wird. Sie können jedoch die Berechtigungen der Richtlinie ändern, um den Zugriff auf eine bestimmte Person (oder Gruppe oder ein Computerkonto) zu verweigern. MS KB 816100 enthält schrittweise Anweisungen.

Es gibt einen wichtigen Grund, warum der Ansatz aus der Antwort von user673956 bevorzugt wird. Ablehnungsberechtigungen haben eine höhere Priorität und überschreiben Zulassungsberechtigungen. Wenn Sie eine Ablehnungsberechtigung hinzufügen, gibt es keine Berechtigung mit höherer Priorität zum Überschreiben der Ablehnung. Wenn Sie beispielsweise mehr Benutzer erhalten, für die die Richtlinie nicht gelten soll, diese in eine Gruppe einordnen und den Zugriff auf die Gruppe verweigern möchten, gibt es keine einfache Möglichkeit, einfach eine andere Berechtigung anzuhängen, um die Richtlinie nur für einen Benutzer zu überschreiben Mitglied der Gruppe.

Wenn Sie sich die Zeit nehmen, die Richtlinie nur auf die Personen anzuwenden, für die Sie sie tatsächlich beantragen möchten, müssen Sie sich normalerweise nicht in einer Ecke eines unerwünschten Effekts verfangen, ohne dass Sie eine einfache und unkomplizierte Lösung finden das Problem. Die sorgfältige Anwendung der Richtlinie nur auf diejenigen, auf die sie angewendet werden soll, kann kurzfristig mehr Zeit in Anspruch nehmen, kann aber letztendlich gut funktionieren.

(Bei der Besprechung, was bevorzugt wird, beziehe ich mich viel auf diese Schulungen, einschließlich einer von Microsoft veröffentlichten Veröffentlichung. Es handelt sich wahrscheinlich um ein offizielles Handbuch zu Windows Server 2003.)

Ich denke, dass dieser Ansatz theoretisch auch die Dinge beschleunigt, da der Computer des Endbenutzers nicht versuchen muss, eine Richtlinie zu ergreifen, nur um herauszufinden, dass er sowieso nicht gelten sollte.

Das Ablehnen von Berechtigungen für eine bestimmte Richtlinie kann jedoch schneller implementiert werden, insbesondere für einen Benutzer in einem kleineren Netzwerk. Wenn Sie wirklich der Meinung sind, dass Sie diesen Weg gehen möchten, ist dies definitiv eine Option, die verfügbar ist. Es ist eine Option, die Microsoft in offiziellen Schulungsunterlagen unterrichtet. Machen Sie also weiter und verwenden Sie diese Option (vorsichtig), wenn Sie feststellen, dass dies für Sie am sinnvollsten ist.