我遇到一个问题需要帮助。
当前情况:
我有一个域防火墙策略,它可以打开防火墙并强制“经过身份验证的用户”。域策略使用“为了您的安全,某些设置由您的系统管理员管理。”为所有用户锁定防火墙。这是不可更改的。
截屏:https://www.dropbox.com/s/aa01il1zjjgoa05/GPO_firewall.png?dl=0
想要改变:
但是,现在我有一个特殊用户,他需要能够独自管理客户端防火墙,因此设置不能被“为了您的安全,某些设置由您的系统管理员管理”锁定...这些设置必须仅由该用户在他的笔记本电脑上打开以供编辑!
我的问题是:
最好的和最简单的设置方法是什么?
谢谢
答案1
与使用 ACL 来根据组成员身份拒绝 GPO 的应用相比,使用安全过滤来根据组成员身份应用 GPO 可能更容易、更直观。
Firewall On and Restricted创建一个名为(或具有该名称的其他名称)的安全组。将除此特定用户之外的所有用户添加到此组。
从此 GPO 的安全过滤中删除经过身份验证的用户。
将您的新安全组添加到此 GPO 上的安全过滤中。
更新您的用户设置文档以包含将所有新用户添加到此安全组的步骤(除了那些应该排除的用户)。
通过这样做,您实际上是在 GPO 上设置 ACL,就像在 Rex 的回答中一样,但是以一种更简单、更直观的方式。
答案2
为策略设置一个 ACE 条目,以拒绝向特定用户实施策略。更好的做法是创建一个组并拒绝向该组实施策略,然后根据需要从该组添加/删除用户。现在一个“特殊”用户,以后可能会有 5 个“特殊”用户。组可以让以后的操作更加简单。
- 打开 GPMC
- 右键单击所需的策略
- 选择
Edit
右键单击策略名称(在计算机/用户配置上方)并选择属性。
在安全选项卡下,添加您想要拒绝该策略的组并单击
deny该Apply Group Policy指定组的权限。
