У меня есть сценарий, в котором серверы-участники не могут подключаться по RDP к другим серверам-участникам. Я справился с этим, используя локальные правила брандмауэра, но в то же время локальный администратор не должен иметь возможности отключать или изменять такие правила на целевых серверах. Я думаю, если я изменю политику GPO по умолчанию, добавить новый GPO, где все администраторы будут иметь ограничения на службу брандмауэра, если только этот администратор не принадлежит к специальной группе безопасности, т. е. администраторам брандмауэра. Как мне это сделать? Спасибо
решение1
Локальные администраторы могут, если захотят, преодолеть все внутренние ограничения Windows и отключить обработку GPO. Так что либо вы доверяете своим администраторам, либо вам нужно стороннее программное обеспечение, чтобы ограничить это.