У меня есть проблема, с которой я нуждаюсь в некоторой помощи.
Текущий сценарий:
У меня есть доменная политика брандмауэра, которая включает брандмауэр и осуществляется на "Аутентифицируемых пользователях". Доменная политика блокирует брандмауэр с "Для Вашей безопасности, некоторые настройки организованы Вашим системным администратором". для всех пользователей. Это не должно быть изменено.
Снимок экрана: https://www.dropbox.com/s/aa01il1zjjgoa05/GPO_firewall.png? dl=0
Изменение хотело:
Однако теперь у меня есть СПЕЦИАЛЬНЫЙ ПОЛЬЗОВАТЕЛЬ, который должен смочь управлять клиентским брандмауэром совершенно один, таким образом, настройки не должны быть "Для Вашей безопасности, некоторые настройки организованы Вашим системным администратором", заблокированным... Они должны быть открыты для редактирования этим пользователем на его ноутбуке ТОЛЬКО!
Мой queation:
Что было бы лучший и самый легкий способ настроить это?
Спасибо
Вместо того, чтобы применять ACL для отказа в применении GPO на основании членства в группе, было бы проще и интуитивно понятнее применять фильтрацию безопасности для применения GPO на основании членства в группе.
Создайте группу безопасности под названием Включение и ограничение брандмауэра
(или что-то такое, что влияет на это). Добавьте всех своих пользователей в эту группу, кроме этого конкретного пользователя.
Удалите аутентифицированных пользователей из фильтрации безопасности этого GPO.
Добавьте свою новую группу безопасности в фильтрацию безопасности этого GPO.
Обновите документацию по настройке пользователя, чтобы включить шаг для добавления всех новых пользователей в эту группу безопасности (за исключением тех пользователей, которые должны быть исключены)
Сделав это, вы на самом деле устанавливаете ACL для GPO так же, как и в ответе Рекса, но более простым и интуитивным способом.
Установите запись ACE в политику, чтобы запретить политику этому конкретному пользователю. Лучшей практикой будет создание группы и запрещение политики группе, а также добавление/удаление пользователей из этой группы по мере необходимости. Один "специальный" пользователь сейчас, может быть 5 "специальными пользователями" позже. Группы сделают это проще позже.
Edit
Щелкните правой кнопкой мыши на имени политики (над конфигурацией компьютера/пользователя) и выберите свойства. В закладке безопасности добавьте группу, которую вы хотите запретить в политике и нажмите deny
на разрешении Apply Group Policy
для этой определенной группы.