Использование GPO в домене Active Directory для принудительного отключения рабочих станций Windows Firewall - как?

Я хочу заставить внутренние машины отключить брандмауэр, чтобы я мог управлять ими с помощью скриптов. Попытка сделать это с GPO, но это не приводит к отключенной и серой панели настроек брандмауэра, как я ожидал. Видимо, я делаю что-то не так.

Вот что я сделал:

  1. Создан OU для парковки компьютерных объектов. Переместил туда тестовую коробку.
  2. Создан новый объект групповой политики с именем "Firewall_Off"
  3. Выберите вновь созданную групповую политику.
  4. Щелкните правой кнопкой мыши вновь созданную политику и выберите "Изменить".
  5. Разверните папку "Конфигурация компьютера", затем папку "Административные шаблоны".
  6. Разверните папку "Сеть", затем папку "Сетевые подключения", а затем папку "Брандмауэр Windows".
  7. Выберите папку "Стандартный профиль".
  8. Дважды щелкните Брандмауэр Windows: параметр Защитить все сетевые подключения.
  9. Выберите Disabled, затем нажмите OK.
  10. Выберите папку профиля домена.
  11. Дважды щелкните Брандмауэр Windows: параметр Защитить все сетевые подключения.
  12. Выберите Disabled, затем нажмите OK.
  13. Закройте диалоговое окно групповой политики.

Я предполагаю, что тогда следует применить групповую политику "защитить все сетевые подключения = отключить" к любому объекту компьютера внутри этого подразделения. Я сделал это раньше для политики аудита с успехом.

Перезагрузил тестовую машину. Панель управления брандмауэра остается управляемой пользователем. Побежал gpupdate несколько раз. Перезагружался неоднократно. Без изменений.

Подсказка?

Источник

4 ответа

Решение

Вы использовали инструмент Resultant Set of Policy? В командной строке или в Run введите RSOP.msc. Вы увидите, есть ли другой режим, который снова включает и отменяет политику, которую вы пытаетесь применить. Это может быть немного сложно, но инструмент действительно помогает. Это также инструмент командной строки, который обсуждается здесь.

Источник

Если вам необходимо полностью отключить его, простой способ сделать это - отключить службу брандмауэра Windows из служб Windows через объект групповой политики. Вы можете установить его в:

Конфигурация компьютера -> Настройки Windows -> Системные службы -> Брандмауэр Windows /ICS

установите его как отключенный (или ручной, если хотите)

Источник

Три вещи:

  1. После того, как вы создали политику, вы закрыли редактор политики? Объекты групповой политики не сохраняются, пока вы не закроете редактор
  2. Правильно ли вы щелкнули политику в консоли управления групповыми политиками и выбрали принудительное?
  3. Вы проверили журналы событий на наличие ошибок политики?
Источник

Вы можете использовать политику, найденную на:

Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Запретить использование брандмауэра подключения к Интернету в вашем домене DNS

Включите его, и брандмауэр не будет работать при подключении к вашей сети. Согласно объяснению это было заменено в SP2 брандмауэром Windows, но все, что я могу сказать, это то, что он работает для меня!

Источник
Другие вопросы по тегам