Назад | Перейти на главную страницу

Изменение одного пользователя с принудительным GPO брандмауэра домена

У меня проблема, с которой мне нужна помощь.

Текущий сценарий:

У меня есть политика брандмауэра домена, которая включает брандмауэр и применяется для «прошедших проверку пользователей». Политика домена блокирует брандмауэр с пометкой «В целях вашей безопасности некоторыми настройками управляет ваш системный администратор». для всех пользователей. Это не подлежит изменению.

Скриншот: https://www.dropbox.com/s/aa01il1zjjgoa05/GPO_firewall.png?dl=0

Требуются изменения:

Однако теперь у меня есть СПЕЦИАЛЬНЫЙ пользователь, которому необходимо иметь возможность самостоятельно управлять клиентским брандмауэром, поэтому настройки НЕ должны быть заблокированы "В целях безопасности некоторые настройки управляются вашим системным администратором" ... Они должны быть открывать для редактирования ТОЛЬКО этим пользователем на его ноутбуке!

Моя очередь:

Как лучше и проще всего это настроить?

Спасибо

Вместо использования ACL для запрета применения объекта групповой политики на основе членства в группе может быть проще и интуитивнее использовать фильтрацию безопасности для применения объекта групповой политики на основе членства в группе.

  1. Создайте группу безопасности с именем Firewall On and Restricted (или что-то в этом роде).

  2. Добавьте в эту группу всех своих пользователей, кроме этого конкретного пользователя.

  3. Удалите прошедших проверку пользователей из фильтрации безопасности для этого объекта групповой политики.

  4. Добавьте новую группу безопасности в фильтр безопасности этого объекта групповой политики.

  5. Обновите документацию по настройке пользователей, включив в нее шаг по добавлению всех новых пользователей в эту группу безопасности (кроме тех пользователей, которых следует исключить).

Делая это, вы фактически устанавливаете ACL для объекта групповой политики так же, как в ответе Рекса, но более простым и интуитивно понятным способом.

Установите запись ACE для политики, чтобы запретить политику для этого конкретного пользователя. Лучшей практикой было бы создать группу и запретить политику для группы и добавлять / удалять пользователей из этой группы по мере необходимости. Один «специальный» пользователь сейчас, может быть 5 «специальных пользователей» позже. Группы облегчают задачу позже.

  1. Открыть GPMC
  2. Щелкните правой кнопкой мыши нужную политику
  3. Выбрать Edit

  4. Щелкните правой кнопкой мыши имя политики (над конфигурацией компьютера / пользователя) и выберите свойства.

  5. На вкладке безопасности добавьте группу, для которой вы хотите запретить политику, и нажмите deny на Apply Group Policy разрешение для этой указанной группы.