Политики брандмауэра не относятся к попыткам ping/tracert?
Групповые политики не то, что Вы ищете здесь - на что Вы хотите посмотреть, права доступа и полномочия на различных объектах и более конкретно соответствующих атрибутах тех объектов, к которым Вы хотите ограничить доступ. Существует хорошая статья об основных принципах вокруг DACL и AD objects\attributes здесь, хотя это довольно старо, это действительно объясняет, как можно приблизиться к изменению их. Необходимо заботиться при проигрывании с ними - inheritance\replication поведение ACL в AD заставляет вещи вести себя несколько по-другому к тому, к чему Вы могли бы привыкнуть с DACL и NTFS и если Вы делаете ошибку, Вы могли бы закончить тем, что повредили довольно много материала.
ping использует ICMP, обычно traceroute генерирует или трафик UDP или трафик ICMP (различие в Unix/Windows). Следовательно, технически необходимо смочь легко различить диагностический трафик из приложения, сгенерированного один на основе используемого протокола (предположение, что это использует TCP).
Поэтому возможно, что политика маршрутизации установлена применяться только к трафику TCP (как пример). Таким образом, оператор в Вашем вопросе может быть допустимым. Но это было бы определенное решение администратора. Не должно быть никакой проблемы с применением политики ко всему трафику, неважно, тип, на основе диапазонов IP. Таким образом, если бы они хотели, то диагностический трафик использовал бы ту же политику. На самом деле я думаю, что было бы более разумно сделать так во-первых.
Тем не менее у представителя может быть некоторая заслуга, таким образом, Вы не должны увольнять его слишком рано. Но я действовал бы осторожно, как другие проблемы Вы упоминаете (политика, инициированная, когда это не должно быть), означают, что, вероятно, существуют некоторые проблемы конфигурации. Таким образом, одинаково вероятно, что он не может действительно знать то, о чем он говорит.
Хороший ответ Karol Picza - необходимо сделать различие между TCP, UDP и ICMP. Как дополнительная точка, чтобы помочь Вам диагностировать, смотреть на Linux, оснащенный названный traceproto. Это весьма схоже со стандартом traceroute с дополнительной функциональностью способности указать протокол и порт, тогда как стандарт traceroute только использует ICMP.