组策略排出某些Computer或User

通常情况下我们会用组策略为用户或者计算机配置一些通用设置,但是有的时候总会有一些意外情况需要排除一些特定的计算机或者用户,下面会结合我最近遇到的一个Case来探究一下如何排除.最近公司的ADSite从Global的组织关系中独立出来,相应的需要为服务器配置一些通用设置,比如统一设置SNMPCommunities和PermittedManagers. 好吧,这个非常简单,按照OU结构在需要应用的OU上创建一个GPO,设置ComputerConfiguration/Administrative Templates/Network/SNMP 下的Policy即可, 默认子OU也就都集成下去了….但是总有些特殊情况发生, 有3台服务器是做Voice日志和录音的, 这3台服务器需要被一些特殊的设备通过SNMP监控, 由于公司安全需求和网络带宽节省的原则(国际专线真心小水管),我们没办法为所有服务器都加上这么几台特殊的SNMP监控服务器, 所以问题来了, 如何把让这3台服务器不应用统一配置好的GPO,而使用单独的设置?首先想到的肯定是用OU的组织关系去做,为这几台服务器单独划分一个OU然后阻断继承去手动设置SNMP,或者单独建一个GPO应用到这个单独得OU来冲突掉父级别的GPO…但是由于这3台服务器在不同的国家,每个国家有自己的OU,而且出于管理角度统一设置的SNMP策略并没有应用到根级别(一个策略分别挂到不同国家的服务器OU上), 所以没有办法把这3台服务器放到同一个OU下, 这个想法被Pass了. PS: 一定有人说可以在每个国家下面都建一个单独OU,然后阻断或者建一个新的GPO,一个OU里放一台服务器不就解决了?但是这样一来有特殊需求就建OU,OU的结构就会越来越复杂,越来越难以管理,相信有相关经验的人一定了解.简单看一下服务器的OU结构，由于不是我的试验环境，所以有敏感信息会被打码。

OU解决不了只能从策略本身下手了,也就说到正题了.第二个考虑到使用的是WMIFiltering. 这个方法实际上比较简单易行,只需要在GPMC.MCS中新建一个WMIFilter然后编辑Query,使用select name fromWin32_ComputerSystem where name<>'A' AND name<>'B' AND name<>’C’这个查询, 然后把刚刚建立好的WMIFilter应用到之前提到的统一SNMP策略上, 然后手动到这三台服务器上把注册表中的HKLM\SOFTWARE\Policies\SNMP整个删除掉, 再gpupdate /sync后重起服务器即可,然后就可以手动修改这三台服务器上的SNMP设置了…但是问题又来了,请原谅我想的太多…现在只有3台服务器需要特殊设置,如果以后再有呢，如果以后有服务器不再需要特殊配置了呢？每次都去WMIQuery中修改吗？每次都需要转到三线的DomainAdmin去操作吗？难道就不能有需求开个ticket给一线的工程师，然后一线直接很简单的就给配置好了吗？看来WMIFilter的这个方式不合适，需要再想办法….PS: WMI Filter从我的理解来说，一般用于比较有规律的筛选（通常都用在计算机策略上），例如只是windows2008 r2的服务器应用、C盘空间大于5GB的应用。。。。。这个我就随便拿一个别图做例子吧，也没什么可说的

好吧，我们还有一种方法叫SecurityFiltering. 默认的情况下我们在GPMC.MCS中建立一条GPO应用到的GROUP是Autenticated Users，这个组说白了就是AD中的所有Object包括用户帐号和计算机帐号。。。结合这个实例我们可以建立一个Group，然后把所有服务器的计算机帐号加到这个Group中（除了上面说的那三台服务器），然后移出Autenticated Users把刚刚建立的Group加进去，这样就实现了出了以上三台服务器以外其他的服务器应用标准设置，这三台服务器可以手动修改SNMP设置了。好吧我又开始思考了，问题又来了…这样虽然实现了有需要排除的服务器，找到一线，在有AO权限的情况下，一线直接在GROUP中把服务器帐号移出即可，但是要是有新加入域的服务器呢？加一台就手动向Group中加上相应帐号？可知道我们每天上下线几十台服务器，这样太麻烦了吧？这个方案也不好，Pass!!!看一下在哪里设置吧

微软推荐的标准方法都没满足需求，只能另辟蹊径了。。。答案揭晓，最后我选择了使用Delegation的权限设置方法。在AD中创建一个新的GROUP把需要排除的三台服务器帐号加进去。打开GPMC.MSC，找到SNMP这条GPO，打开Delegation选项卡。

点击Add,找到刚刚建立的GROUP,OK.点击Advanced.在Security弹出窗口中选中刚刚加进来的GROUP.在Permission中Read权限保持不变，Apply group policy权限变成Deny.

登陆到这三台服务器，删除注册表即可。。然后就可以手动修改SNMP设置了。实际上真正让权限生效需要重启，但是经过测试，在不重起的情况下只要不执行gpupdate/force即可，当然当重起之后/force也不会有问题了。这样我的需求就满足了，有需要排除的直接一线工程师把帐号加到Group里就可以了，不需要DomainAdmin作任何操作。。。舒心！！！
本文出自 “向神竖起中指” 博客，请务必保留此出处http://xrbenbeba.blog.51cto.com/492648/1740620