Pengecualian Dampak Penerapan Group Policy Terhadap Objek Tertentu
Reposting........
Merupakan hal yang biasa kita lakukan, bila terdapat tuntutan untuk meningkatkan aspek security dan membatasi user environment, salah satu caranya dengan menggunakan Group Policy.
Jika pada suatu domain, terdapat sejumlah Organizational Units (OUs), dengan mudah kita membuat sejumlah Group Policy dan kemudian kita terapkan pada OU mana yang kita kehendaki. Permasalahan kemudian timbul, tatkala ternyata objek-objek yang ada dalam suatu OU yang telah kita set Group Policy-nya tidak harus terkena dari dampak policy yang kita telah set.
Katakanlah dalam OU Trainers dalam domain microsoft.com, kita telah mengkonfigurasi suatu Group Policy, sebutlah namanya Trainers Policy. Policy ini untuk konfigurasi User, kemudian terdapat tuntutan bahwa semua user di OU Trainers terkena dampak policy Trainers Policy, kecuali Trainer Manager. Bagaimana cara kita melakukan settingnya?
Pada gambar di bawah ini, pada OU Trainers, telah terdapat sejumlah user, jika kita ingin membuat suatu Group Policy Object yang berlaku untuk seluruh user di OU Trainers kecuali user Ananias Sembiring yang menjabat sebagai Training Manager.
Setelah sebelumnya kita membuat Trainer Policy pada OU Trainers , kita lihat pada properti dari OU Trainers, pada tab Security, secara default Group Authenticated Users memiliki permissions Allow Read, ini berarti jaminan bahwa seluruh user yang ada pada OU Trainers terkena dampak policy dari GP yang kita terapkan.
Jika kita ingin mengecualikan satu/beberapa user tidak terkena dampak policy dari GP yang diterapkan di atas, kita tinggal tambahkan secara eksplisit user yang dimaksud dan kita berikan permission Deny Read. Bisa kita lihat cara setingnya pada gambar berikut:
Setelah kita klik Apply dan OK, kemudian jalankan gpupdate dari command line, bisa kita langsung buktikan sendiri bahwa setting konfigurasi GP tidak berlaku untuk user account yang kita set Deny Read.