Доброго дня, что то уже совсем туго стала голова соображать, подскажите... как настроить распространение GPO на группу пользователей, но только при логине на определенную группу компьютеров....

т.е. нужно ограничить к примеру доступ к флэшкам группе "студенты" на компьютерах администрации, но оставить открытыми в определённых кабинетах.

Ну если в определнных кабинетах тебе нужно оставить флешки всем пользователям, то "Loopback Processing Mode" значение "Replace". Задается Computer Configuration\Administrative Templates\System\Group Pulicy\User Group pulicy loopback processing mode — Replace или Merge.

как закрыть флэшки я знаю, охота применить еще много политик, вопрос как сделать фильтр, чтобы политика "на пользователя" применялась только на определенных компьютерах.

Использовать WMI фильтр.

А разве не параметр "Нацеливание" (в русской версии) за это отвечает ? У меня стоит нацеливание на определенное подразделение и работает. Я недавно тему насчет дефолтной политики открывал и решил именно политикой на персональное подразделение.

применялась только на определенных компьютерах »
а если компы в группу загнать, и в фильтре указать только её и группу студенты?

А про WMI и Нацеливание можно поподробней? Нацеливание вроде работает только в отдельных элементах ГПО?


а если компы в группу загнать, и в фильтре указать только её и группу студенты »


А не важно что стоит в фильтрах группа компьютеров или пользователей, политики всё равно применятся отдельно на компьютер и отдельно на пользователя.... откройте любую GPO и там увидите разделы "конфигурация пользователя" и "конфигурация компьютера" они соответственно и применяются для объектов пользователь и компьютер

Хммм) а если в параметре политики указать: применять только для пользователя и применить эту политику для определенной группы пользователей? Т.е найти определенную политику в Object Group Policy и правой клавишей запретить применение параметра для компьютера.?

А не важно что стоит в фильтрах группа компьютеров или пользователей »
вообще-то важно.
Пример:
политика 1 действует с фильтром на пользователя Вася.
политика 2 действует с фильтром на компьютер 1.

Вася зашёл на компьютер 1 - применились две политики.
Вася зашёл на компьютер 2 - применилась только политика 1, т.к. политика 2 на него не действует.

exo, да, это верно, но я не про то.... в GPO явно разделены политики применяемые на компьютер и на пользователя, и они совсем не одинаковые, политику которая применяется на пользователя можно настроить намного гибче, вплоть до того где какая кнопка в эксплорере и цвета обой, в политиках же распространяемых "на компьютер" такого не настроишь, вот мне и нужно применить политику "на пользователя" но только на определенных компьютерах.

вот мне и нужно применить политику "на пользователя" но только на определенных компьютерах. »
так а я о чём? настраиваете раздел "пользователи", а в фильтрах указываете на какие компьютеры это действует.

далее, вам нужно разрешить эти запреты определённым пользователям:
создаёте политику перезаписывающее разрешения, и в фильтрах указываете пользователей.

что получается.
первая политика будет действовать всегда на указанных в фильтре компьютерах.
Но если на них зайдут пользователи из фильтра второй политики - то вторая политика перепропишет настройки.

Пример:
выключаете в Пуске кнопку "выключить" для компьютеров из группы "comp_no_shutdown"
На этих компьютерах всегда будет выключена эта кнопка.
Когда заходят пользователи из группы "yes_shutdown", то им переназначается право на наличие этой кнопки.