Hoe sluit ik een specifieke gebruiker of computer uit van groepsbeleid?

Het beheren van groepsbeleid in Active Directory kan soms een ware nachtmerrie zijn, vooral wanneer u wilt voorkomen dat bepaalde GPO’s van toepassing zijn op specifieke gebruikers of computers. Het is vervelend, want als u niet oppast, kan beleid worden toegepast waar het niet hoort, wat conflicten of ongewenste systeemwijzigingen kan veroorzaken. Of u nu een paar testmachines wilt uitsluiten van een groot beleid of meer gedetailleerde controles wilt instellen, het nauwkeurig afstemmen van het bereik kan u later veel problemen besparen. Deze handleiding beschrijft verschillende manieren om GPO’s voor bepaalde AD-objecten te blokkeren of te filteren – van eenvoudige beveiligingsfiltering tot geavanceerdere WMI-filters en targeting op itemniveau – zodat u beter inzicht krijgt in wat waar van toepassing is. Deze methoden helpen u voorkomen dat specifiek beleid ongemerkt in bepaalde configuraties terechtkomt, waardoor uw groepsbeleidsbeheer een stuk minder chaotisch wordt.

Hoe voorkom je dat specifieke groepsbeleidsobjecten (GPO’s) worden toegepast in Active Directory?

Methode 1: Beveiligingsfiltering gebruiken in GPMC

Dit is waarschijnlijk de eenvoudigste en meest directe optie voor snelle uitsluitingen. In principe pas je de machtigingen van een GPO aan, zodat alleen bepaalde groepen of gebruikers deze kunnen toepassen en anderen worden uitgesloten. Het werkt vooral goed als je een specifieke set computers of gebruikers wilt blokkeren voor een beleid zonder de rest van het domein te beïnvloeden. Door ‘Groepsbeleid toepassen’ te weigeren voor een beveiligingsgroep die de doelcomputers bevat, geef je Active Directory de opdracht om die objecten over te slaan tijdens de beleidshandhaving. Het is eenvoudig maar zeer effectief. Houd er wel rekening mee: weigeringsmachtigingen hebben voorrang op toestemmingsmachtigingen, dus wees voorzichtig met je machtigingen, anders blokkeer je misschien per ongeluk meer dan je van plan was.

  • Open de Group Policy Management Console (gpmc.msc)
  • Navigeer naar de betreffende GPO.
  • Ga naar het tabblad Delegatie.
  • Klik op de knop ‘Toevoegen ‘ om specifieke beveiligingsgroepen toe te wijzen.
  • Typ de groep, gebruiker of computer in die u wilt uitsluiten (zoals gpo_WSUS_workstations_excl).
  • Klik op Geavanceerd en stel ‘Weigeren’ in voor ‘Groepsbeleid toepassen’.

Nadat de instellingen zijn geconfigureerd, start u de betreffende clients opnieuw op of voert u de opdracht uit gpupdate /force. Open vervolgens een opdrachtprompt en controleer welke beleidsregels daadwerkelijk actief zijn met behulp van gpresult /rde opdracht `gpo`.Als u ziet dat uw GPO is gefilterd vanwege de instelling ‘Weigeren’, dan werkt het. Op sommige machines is mogelijk een handmatige herstart nodig voordat de wijzigingen van kracht worden.

Tip: Deze methode is vrij statisch — elke keer dat je uitsluitingen wilt toevoegen of verwijderen, moet je de beveiligingsgroep handmatig bijwerken. Als je een meer dynamische oplossing nodig hebt, lees dan verder.

Methode 2: WMI-filters voor het verfijnen van GPO-toepassingen

Hier wordt het wat geavanceerder, maar ook flexibeler. Met WMI-filters kunt u WQL-query’s maken om precies te definiëren welke computers wel of niet een beleid moeten ontvangen. U wilt bijvoorbeeld dat het beleid alle machines met ‘ adm ‘ in de hostnaam overslaat – handig als dat uw test- of beheermachines zijn. Deze aanpak is bijzonder nuttig wanneer uw uitsluitingen afhankelijk zijn van hardware of naamgevingsconventies. Het magische proces vindt plaats in de Group Policy Management Console, waar u het filter aanmaakt en vervolgens koppelt aan een GPO.

SELECT * FROM Win32_ComputerSystem WHERE NOT (Name LIKE '%adm%')

Dit is wat je moet doen:

  • Open de console voor groepsbeleidsbeheer.
  • Ga naar WMI-filters
  • Maak een nieuw WMI-filter met uw aangepaste WQL-query.
  • Koppel dit filter aan uw doel-GPO.

Nu voert elke machine deze controle uit bij het opstarten of vernieuwen. Als de query onwaar retourneert (bijvoorbeeld omdat de hostnaam ‘adm’ bevat), wordt het beleid niet toegepast. Het is een beetje eigenaardig, maar op de ene configuratie werkte het perfect, op een andere niet. Waar je op moet letten: WMI-query’s kunnen wat traag of lastig zijn als de syntax niet perfect is, dus test ze eerst op een paar machines.

Methode 3: Doelgroepbepaling op itemniveau voor GPO-voorkeuren

Als uw GPO gebruikmaakt van Groepsbeleidvoorkeuren (GPP), kunt u regels voor itemgerichte instellingen instellen. Dit is handig om uitzonderingen binnen één GPO toe te passen zonder dat u meerdere GPO’s hoeft aan te maken. U kunt bijvoorbeeld instellingen alleen voor specifieke groepen of computers instellen, of, zoals in ons geval, uitzonderingen maken voor bepaalde objecten. U schakelt itemgerichte instellingen in op het tabblad Algemeen van een voorkeursitem en voegt vervolgens regels toe op basis van variabele kenmerken zoals groepslidmaatschap, hostnaam of zelfs lidmaatschap van een beveiligingsgroep.

  • Bewerk het groepsbeleidsobject (GPO) en zoek het betreffende voorkeuritem op.
  • Vink het vakje ‘Doelstelling op itemniveau’ aan.
  • Configureer voorwaarden zoals IS-NOT voor de beveiligingsgroep of het hostnaampatroon.
  • Toepassen en testen — en vervolgens opnieuw opstarten of uitvoeren.gpupdate /force

Op deze manier wordt de instelling alleen toegepast op de objecten die aan uw criteria voldoen, en worden de rest genegeerd. Het vergt iets meer werk vooraf, maar is zeer nauwkeurig zodra het is ingesteld. Houd er wel rekening mee: als u kenmerken of groepen wijzigt, moet u uw targetingregels dienovereenkomstig bijwerken.

Het beheren van uitsluitingen in GPO’s kan snel ingewikkeld worden, maar door deze methoden te combineren, krijg je enorm veel controle. Meestal is het een kwestie van eenvoud en precisie, afhankelijk van je omgeving.