Qual é o método correto para aplicar várias configurações de diretiva de grupo a vários grupos de usuários?

Um exemplo do cenário: Windows server 2008, domínio "CompanyName". Suponha que todos os usuários alternem entre todos os PCs com um perfil móvel.

GP = política de grupo, GPO = objeto de política de grupo, OU = unidade organizacional.

Eu tenho duas UOs dentro da minha UO Usuários principal, da seguinte maneira:

CompanyName Users
    Standard Users
        UserA
        UserB
    Power Users
        UserC
        UserD

Para usuários padrão, quero o painel de controle desativado. O que posso obter bem aplicando o GPO a essa UO.

Para usuários avançados, quero o plano de fundo definido para uma determinada imagem. Eu também posso conseguir bem.

Aqui é onde entra o problema: o UsuárioA e o UsuárioC usam um programa que requer determinadas configurações de firewall que eu gostaria de aplicar através do GP. Colocando esse GPO na OU principal (CompanyName Users) e filtrando os usuários aos quais ele pode se aplicar, presumo que funcionaria. No entanto, essa é a maneira correta de fazer isso?

Qual é a melhor / correta maneira de fazer isso? Existe uma maneira melhor de organizar minhas UOs?

Putting this GPO in the main OU (CompanyName Users) then filtering the users it can apply to, I presume would work. However is this the correct way to do it?

Sim. Por que você não acha?

— precisa saber é o seguinte

Você também pode adicionar uma UO filha e aplicar a política lá. Com a herança ativada, os usuários nessa UO obterão os dois conjuntos de políticas. E os usuários da UO pai somente receberão as políticas de nível superior aplicadas. Esta é a minha maneira preferida, pois é mais fácil ter uma visão geral.

— Jens Ehrich

Não é difícil, pois você pensa que primeiro é necessário criar grupos separados para os usuários A, B, C, D e adicionar cada usuário ao seu grupo apropriado. Em seguida, você precisa criar um GPO sob a UO de que precisa aplicar e atribuir a política a grupos específicos. Remova os usuários autenticados fornecidos por padrão e aplique o GP e adicione o grupo apropriado ao GPO selecionado. Dessa forma, o GP será aplicado ao grupo que você adicionou apenas, ignorando qualquer outra pessoa que não esteja nos grupos que você adicionou . Por exemplo, se você criou uma diretiva para restringir o acesso ao painel de controle e a aplicou ao Grupo A, se o grupo B ingressar, ele não será restrito, pois não será aplicado pelo GPO, porque você adicionou apenas o grupo A.

— Elie
fonte