По умолчанию политика пользователя привязана к контейнеру и соответственно всем пользователям внутри него (прошедшим аутентификацию).
Задача. Сделать гибкую настройку, не перемещая объекты AD.
1. Создаем политику. Подкручиваем в политике пользователя что нужно.
Настраиваем значение «Security Filtering«. Добавляем группу к которой нужно применять политику. Например «mydomain-users». Группу «Authenticated User» (Прошедшие проверку) оставляем как и была.
2. Идем с свойства самой политики (Изменить->Свойства (в стоке с именем политики в окне самой политики)). Вкладка «Безопасность». У группы «Прошедшие проверку» снимаем галку «Применить групповую политику»
3. Если нужно исключить например «mydomain-asu» (в предположении, что члены группы «mydomain-asu» входят также в группу «mydomain-users»). Идем на вкладку «Deligation». Добавляем сюда группу «mydomain-asu» — «Advanced» — даем «full» — !!! снимаем последнюю галочку «Apply group policy» .
Хитрость проста: На применение политики также нужны права. Дайте их кому необходимо или заберите у избранных.
Яркий пример зачем это нужно — запрещаем пользователям командную строку, но оставляем разрешение для сотрудников асу.
http://sysadminka.blogspot.ru/2013/11/gpo.html
