标志的工作原理

应用到客户端计算机的策略通常是将多个策略合并到一个最终策略的结果。合并策略时，可以使用策略标志调整最终策略的预期行为（由于应用策略的顺序）。标志定义策略将如何处理特定设置。

对于每个设置，您可以选择以下标志之一：

不应用	策略不会设置具有此标志的任何设置。由于设置未由策略进行设定，因此可以由以后应用的其他策略更改。
应用(A)	具有应用标志的设置将应用于客户端计算机。但当合并策略时，它可以由以后应用的其他策略覆盖。将策略发送到包含标有此标志的设置的客户端计算机时，这些设置将更改客户端计算机的本地配置。由于此设置未强制执行，因此它仍可以由以后应用的其他策略更改。
强制	具有强制执行标志的设置具有优先级，无法由以后应用的任何策略覆盖（即使它还具有强制执行标志）。这可确保以后应用的其他策略不会在合并时更改此设置。将策略发送到包含标有此标志的设置的客户端计算机时，这些设置将更改客户端计算机的本地配置。

方案：管理员希望允许用户 John 在其家庭组中创建或编辑策略，并查看由管理员创建的所有策略，包括带有强制执行标志的策略。管理员希望 John 可以查看所有策略，但无法编辑由管理员创建的现有策略。John 只可以在其家庭组 San Diego 中创建或编辑策略。

解决方案管理员需遵循以下步骤：

创建自定义静态组和权限集

创建一个名为 San Diego 的新静态组。
创建名为 Policy - All John（包含静态组全部的访问权限和策略的读取权限）的新权限集。
创建名为 Policy John（包含静态组 San Diego 的访问权限以及组和计算机和策略的功能访问写入权限）的新权限集。此权限集允许 John 在他的家庭组 San Diego 中创建或编辑策略。
创建新用户 John，然后在权限集部分中选择 Policy - All John 和 Policy John。

创建策略

创建新策略 All- Enable Firewall，展开设置部分，选择 ESET Endpoint for Windows，依次导航到个人防火墙 > 基本，然后通过强制执行标志应用所有设置。展开分配部分，然后选择“静态组”全部。

创建新策略 John Group- Enable Firewall，展开设置部分，选择 ESET Endpoint for Windows，依次导航到个人防火墙 > 基本，然后通过应用标志应用所有设置。展开分配部分，然后选择“静态组”San Diego。

结果

由于强制执行标志已应用于策略设置，则将首先应用由管理员创建的策略。已应用强制执行标志的设置具有优先级，无法由以后应用的其他策略覆盖。用户 John 创建的策略将在管理员创建的策略之后应用。

若要查看最终策略顺序，请依次导航到更多 > 组 > San Diego。选择计算机，然后选择显示详细信息。在配置部分中，单击已应用的策略。

˄˅