Eu quero definir uma regra para todos os usuários em um domínio. A regra ativa o protetor de tela após 15 minutos e, em seguida, o usuário deve usar uma senha para fazer login novamente.
Tudo funciona, mas preciso excluir um usuário que pertença a esse grupo. Como posso fazer isso?
Você precisa criar um grupo e adicionar todos os usuários aos quais deseja que a política se aplique e exclua esse usuário desse grupo (não o adicione ao grupo). A próxima coisa a fazer é aplicar essa política no grupo. grupo que você criou que contém todos os usuários que você adicionou a esse grupo, removendo os usuários autenticados e substituindo-os pelo grupo que você criou.
a resposta do user673956 é o caminho recomendado. Somente adicione usuários aos quais você deseja que a política seja aplicada.
Existe outra abordagem. Você pode fazer com que a política se aplique às pessoas, mas altere as permissões da política para negar acesso a uma determinada pessoa (ou grupo, ou conta de computador). O MS KB 816100 fornece instruções passo a passo.
Existe uma razão fundamental pela qual a abordagem da resposta do user673956 é preferida. As permissões de negação têm uma prioridade mais alta, substituindo permissões de permissão. Se você adicionar uma permissão de negação, não haverá uma permissão de prioridade mais alta para substituir a negação. Por exemplo, se você receber mais usuários aos quais deseja que a política não se aplique e os coloque em um grupo e negue acesso ao grupo, não há uma maneira fácil de aplicar outra permissão para substituir a política por apenas um. membro do grupo.
Como uma prática geral, se você dedicar o tempo para aplicar a política apenas às pessoas a quem você realmente quer que elas se apliquem, você não acabará se prendendo a um canto de ter um efeito indesejado sem nenhuma tarefa fácil e direta. maneira de corrigir o problema. A aplicação cuidadosa da política apenas para aqueles a quem você deseja se candidatar pode levar mais tempo a curto prazo, mas acaba sendo capaz de funcionar bem.
(Como estou discutindo o que é o preferido, estou baseando bastante essa discussão em algum treinamento que recebi, envolvendo uma publicação lançada pela Microsoft. Provavelmente foi um guia oficial relacionado ao Windows Server 2003.)
Eu acho que, em teoria, essa abordagem também acelera as coisas, porque o computador do usuário final não precisa tentar pegar uma política apenas para descobrir que ela não deve ser aplicada de qualquer maneira.
No entanto, a negação de permissões para uma política específica pode ser mais rápida de implementar, especialmente para apenas um usuário em uma rede menor. Então, se você realmente acha que quer seguir esse caminho, é definitivamente uma opção disponível. É uma opção que a Microsoft ensina em alguns materiais oficiais de treinamento, então vá em frente e (decida cuidadosamente) usar essa opção se você determinar que é isso que faz o melhor sentido para você.