单个用户更改为强制域防火墙GPO
我有一个问题,我需要一些帮助。
当前scheme:
我有一个域防火墙策略,打开防火墙,并强制执行“validation用户”。 域策略将防火墙locking为“为了您的安全,某些设置由系统pipe理员pipe理”。 为所有用户。 这是不能改变的。
屏幕截图: https : //www.dropbox.com/s/aa01il1zjjgoa05/GPO_firewall.png?dl=0
- 无法将Windows 8.1 Pro客户端join到Windows Server 2003的域中
- 另一个未知域添加了我的IPlogging
- 如何将Windows Server 2016 Datacenter Corejoin到域中?
- 在join域的计算机上进行Windows升级
- 发现指向IP地址的所有网站
更改想要的:
但是,现在我有一个特殊的用户,需要能够自己pipe理客户端防火墙,所以设置不能是“为了您的安全,某些设置由您的系统pipe理员pipe理”locking…他们必须是打开这个用户在他的笔记本电脑上进行编辑!
我的伫立是:
什么是最好的和最简单的方法来设置?
谢谢
而不是使用ACL来拒绝基于组成员身份的GPO的应用程序,使用安全筛选以基于组成员身份应用GPO可能会更容易,更直观。
-
创build一个名为
Firewall On and Restricted的安全组(或其他影响)。 -
将所有用户添加到此组,除了此特定用户。
-
从此GPO上的安全筛选中移除经过身份validation的用户。
-
将您的新安全组添加到此GPO上的安全筛选。
-
更新您的用户设置文档,以包括将所有新用户添加到此安全组的步骤(应排除的用户除外)。
通过这样做,您实际上在GPO上设置ACL,就像在Rex的答案中一样,但是以更简单,更直观的方式。
将ACE条目设置为拒绝该特定用户的策略。 更好的做法是创build一个组并拒绝该组的策略,并根据需要从该组添加/删除用户。 现在一个“特殊”用户,以后可能是5个“特殊用户”。 之后群组会更容易。
- 打开GPMC
- 右键点击所需的策略
- select
Edit
-
右键单击策略名称(在计算机/用户configuration上方),然后select属性。
-
在“安全性”选项卡下,添加要拒绝策略的组,然后单击“
deny”该Apply Group Policy的“Apply Group Policy权限。