Изменение отдельного пользователя с принудительным доменным брандмауэром GPO

Вместо того, чтобы применять ACL для отказа в применении GPO на основании членства в группе, было бы проще и интуитивно понятнее применять фильтрацию безопасности для применения GPO на основании членства в группе.

1. Создайте группу безопасности под названием Включение и ограничение брандмауэра (или что-то такое, что влияет на это). Добавьте всех своих пользователей в эту группу, кроме этого конкретного пользователя.

2. Удалите аутентифицированных пользователей из фильтрации безопасности этого GPO.

3. Добавьте свою новую группу безопасности в фильтрацию безопасности этого GPO.

4. Обновите документацию по настройке пользователя, чтобы включить шаг для добавления всех новых пользователей в эту группу безопасности (за исключением тех пользователей, которые должны быть исключены)

Сделав это, вы на самом деле устанавливаете ACL для GPO так же, как и в ответе Рекса, но более простым и интуитивным способом.

Установите запись ACE в политику, чтобы запретить политику этому конкретному пользователю. Лучшей практикой будет создание группы и запрещение политики группе, а также добавление/удаление пользователей из этой группы по мере необходимости. Один "специальный" пользователь сейчас, может быть 5 "специальными пользователями" позже. Группы сделают это проще позже.

1. Откройте GPMC
2. Щелкните правой кнопкой мыши на нужной политике
3. Выберите Edit
   

4. Щелкните правой кнопкой мыши на имени политики (над конфигурацией компьютера/пользователя) и выберите свойства. В закладке безопасности добавьте группу, которую вы хотите запретить в политике и нажмите deny на разрешении Apply Group Policy для этой определенной группы.