De forma predeterminada los valores de directiva contenidos en las propias directivas que afectan a un contenedor se aplican a todos los usuarios y equipos de dicho contenedor, que en ocasiones puede producir efectos no deseados. Mediante el filtrado pueden definirse qué valores se aplican a los usuarios y equipos en un contenedor específico.
Podemos filtrar el despliegue de una directiva estableciendo permisos en el vínculo de la directiva para determinar el acceso de lectura o permiso negar en la directiva. Para valores de directiva a aplicar a una cuenta de usuario o equipo, la cuenta debe tener al menos permiso de lectura en la directiva. Los permisos predeterminados para una nueva directiva tienen las siguientes entradas de control de acceso (ACEs):
- Usuarios autenticados – Permitido lectura y aplicar directiva
- Administradores de dominio, de empresa y SYSTEM – Permitido lectura, escritura, crear objetos hijo, eliminar objetos hijo.
Podemos utilizar los métodos siguientes de filtrado:
- Denegar explícitamente: Este método se utiliza cuando se deniega el acceso a la directiva. Por ejemplo, podría explícitamente denegarse el permiso al grupo de administradores de seguridad, que prevendría que los administradores en la OU reciban los valores de la directiva.
- Quitando usuarios autenticados: Puede omitirse a los administradores de OU desde el grupo de seguridad, que significa que no tienen permisos explícitos para la directiva.