[Delirium]

А политики идут в каком порядке? Сначала Allow а потом уже Deny? Может их местами поменять для смены приоритета обработки?

[Spooner]

Политики местами менял, толку ноль. Проблема то в том, что политики сложились, то есть правило из Allow_Soft "quake.exe Unrestricted" и правило из Deny_Soft "quake.exe Denied" сложились и в результирующей политике создали две строчки. То есть даже без разницы, в каком они порядке идут. Они просто сложились. Отработала запрещающая политика ...

[Delirium]

А может тогда стоит поставить правило "не перекрывать политики"? и высший приоритет у разрешающего сделать. В таком случае отработают по разному(наверное )

[Spooner]

Дело в том, что галочки "не перекрывать политики" нет) Есть галочка "Не наследовать".

[Delirium]

это семантика )))

[Spooner]

Предупреждая дальнейшее предложение сделать блокирующую политику уровнем выше, то есть Deny_Soft применить к OU Users, скажу, что это я уже делал, результата нулевой

[Spooner]

Проблема решена путем добавления WMI фильтра.
Что бы исключить из политики определенных пользователей, необходимо на DC создать WMI-фильтр с запросом вида:

Select * FROM Win32_UserAccount WHERE Name = "Spooner"

(без указания домена. С указанием домена запрос будет соответственно немного другим)

В решении этого и подобных вопросов очень полезной является утилита WMI Code Creator, с её помощью можно подсмотреть различные свойства классов и фильтровать политики, скажем, не только по логину, но и имени компьютера, операционной системе и т.д.

[Delirium]

Цитата Spooner:

В решении этого и подобных вопросов очень полезной является утилита WMI Code Creator, с её помощью можно подсмотреть различные свойства классов и фильтровать политики, скажем, не только по логину, но и имени компьютера, операционной системе и т.д. »

угу, я с ее помощью программу пишу для работы с WMI и где то тут на форуме архивчик WMI Code Creator выкладывал.