We hadden al een paar artikelen over GPO’s zoals het forceren van screensavers, local administrators en external storage uitschakelen.
Deze hebben we steeds op hele OU’s (Organizational Unit) toegepast waardoor iedereen die in die OU zit deze policy krijgt.
Nu is het ook mogelijk om op basis van gebruikers of groepen de GPO’s uit te rollen.

Aan de slag !

Wat je NIET moet doen :

Bovenstaande actie is een veel voorkomende fout die gemaakt wordt !
Dit zorgt er enkel voor dat de hele GPO ontoegankelijk wordt voor gebruikers (zie onderstaande afbeelding. De GPO zal dus nooit worden uitgevoerd.

Hoe het dan WEL moet :

Voorbereiding :

Als eerste dien je natuurlijk een GPO te maken en deze te linken aan een OU.
De policy zal na onderstaande stappen alleen op die OU toegepast worden op gebruikers/groepen die toegewezen zijn aan de GPO.

Zoek in de GPMC de OU op waar je de GPO wilt laten toepassen.
Klik met de rechtermuisknop op de OU en kies Link an Existing GPO :

Stap 1 :

Selecteer de GPO in de Group Policy Management Console (GPMC) en klik op de Delegation tab. En daar klik je op de knop Advanced

Stap 2 :

Selecteer de Authenticated Users groep en scroll dan naar beneden naar de Apply Group Policy permissie en haal daar het vinkje weg.

Let op dat de Allow permissie bij Read blijft staan ! Dit weghalen zorgt er voor dat de GPO niet meer gelezen kan worden en dus ook niet toegepast kan worden.

Stap 3 :

Klik nu op de Add knop en selecteer de groep waarop de GPO toegepast moet worden.
Klik daarna op die groep en scroll naar beneden en zet het vinkje aan bij Apply group policy bij  Allow

Nu kun je een GPO linken aan een OU, maar deze GPO zal dan alleen toegepast worden op gebruikers die lid zijn van de groep die aan de GPO is toegewezen.
Je kunt nu dus gebruikers in en uit de groep halen om wel/niet de policy toe te passen i.p.v. objecten naar andere OU’s schuiven en werkt dus een stukje makkelijker !