旗標的運作方式

套用至用戶端電腦的原則通常是將合併成單一最終原則之多個原則的結果。合併原則時,由於套用原則的順序,您可以使用原則旗標來調整最終原則的預期行為。這些旗標定義原則將如何處理特定的設定。

對於每一個設定,您可以選取下列其中一個旗標:

icon_no_apply_policy 不套用

原則不會設定任何具有此旗標的設定。因為此設定不是由原則設定,所以稍後套用的其他原則可以變更它。

icon_apply_policy 套用

包含 [套用] 旗標的設定將套用至用戶端電腦。不過,當合併原則時,稍後套用的其他原則會覆寫它。當原則傳送至包含以此旗標標記之設定的用戶端電腦時,那些設定將變更用戶端電腦的本機配置。因為未強制進行設定,所以稍後套用的其他原則仍可變更它。

icon_force_policy 強制

包含 [強制] 旗標的設定具有優先權,而且稍後套用的任何原則都無法覆寫它們 (即使其也具有 [強制] 旗標也一樣)。這確定稍後套用的其他原則無法在合併期間變更此設定。當原則傳送至包含以此旗標標記之設定的用戶端電腦時,那些設定將變更用戶端電腦的本機配置。


example

案例管理員想要允許使用者 John 可在其家用群組中建立或編輯原則,並查看管理員建立的所有原則,包括具有icon_force_policy [強制] 旗標的原則。管理員想要 John 能夠查看所有原則,但不能編輯管理員建立的現有原則。John 只能在其家用群組聖地牙哥內建立或編輯原則。

解決方案:管理員必須遵循下列步驟:

建立自訂靜態群組和權限集

1.建立新的靜態群組,稱為聖地牙哥

2.建立新的權限集 (稱為原則 - 全部 John),其可以存取靜態群組全部,並具有 [原則][讀取] 權限。

3.建立新的權限集 (稱為原則 John),其可以存取靜態群組聖地牙哥,並具有 [群組與電腦][原則] 的功能存取 [寫入] 權限。此權限集允許 John 在其家用群組聖地牙哥中建立或編輯原則。

4.建立新的使用者 John,並在 [權限集] 區段中,選取原則 - 全部 John原則 John

建立原則

5.建立新的原則全部 - 啟用防火牆,展開 [設定] 區段、選取 [ESET Endpoint for Windows],瀏覽至 [個人防火牆] > [基本],然後透過 icon_force_policy [強制] 旗標套用所有設定。展開 [指派] 區段,並選取靜態群組全部

6.建立新的原則 John 群組 - 啟用防火牆,展開 [設定] 區段、選取 [ESET Endpoint for Windows],瀏覽至 [個人防火牆] > [基本],然後透過 icon_apply_policy [套用] 旗標套用所有設定。展開 [指派] 區段,並選取靜態群組聖地牙哥

結果

首先將套用 Administrator 建立的原則,因為 icon_force_policy [強制] 旗標已套用至原則設定。套用強制旗標的設定具有優先權,而且稍後套用的原則無法覆寫它們。在管理員建立原則之後,將套用使用者 John 建立的原則。

若要查看最終原則順序,請瀏覽至 [其他] > [群組] > [聖地牙哥]。選取電腦並選取 [顯示詳細資料]。在 [配置] 區段中,按一下 [套用的原則]