Почему не происходит фильтрация трафика по пользователям Active Directory с помощью брандмауэра в режиме повышенной безопасности?

Question

[Максим]

Необходимо настроить ограничение доступа к сервису по определенному порту с помощью брандмауэра с учетом членства пользователях в группах.

Есть два компьютера:
первый контроллер домена и терминальный сервер.
второй сервер с службой, к которой нужно фильтровать подключения.
оба компьютера в домене, с помощью политики настроен ipsec в транспортном режиме, который работает только для tcp с определенным портом.
между ними есть доверительные отношения.
После указания пользователей, которым разрешено подключение, соединение не устанавливается.
Если указывать разрешенный компьютер все работает.
Авторизация по компьютеру не подходит.
Не уверен какая информация нужна. Спрашивайте, предоставлю.

Answer 1

[Максим]

Необходимо было создать правило безопасности подключения

Answer 2

[Alexey Dmitriev]

Начните с подтверждения того, что вы выгружали gpresult и проверяли, что политики точно применяются и что правила Firewall точно прилетают на компы.

Comments

[Максим]

Правила для firewall не распространяются через политики, а оно создаётся непосредственно на одной конкретной машине. Политикой распространяется настройка ipsec.
Правильно ли я думаю, что для работы фильтров по пользователям необходимо разворачивать центр сертификации?

[Максим]

подозреваю, почему не работает фильтрация по пользователям и группам пользователей.
Нет проверки подлинности по пользователю, только по компьютеру:

Как ее включить? Обязательно ли для этого разворачивать PKI?