Por algum motivo, o Firewall do Windows foi desabilitado em um domínio AD do meu cliente. O relatório RSoP mostra que a configuração é originada das Configurações Extras do Registro na Diretiva de Domínio Padrão .
Se isso estivesse em qualquer outro GPO, eu poderia simplesmente removê-lo, mas é a Diretiva de Domínio Padrão . No Controlador de Domínio, não há um modelo ADM/ADMX configurado que controle essas chaves do Registro, portanto, não posso editá-las usando o Editor de Gerenciamento de Diretiva de Grupo. (Provavelmente algum administrador em algum momento teve um em um computador externo com as Ferramentas de Administração de Servidor Remoto instaladas.)
Qual seria a maneira correta de excluir essas configurações? Devo encontrar e instalar o modelo ADM(X) correto ou existe algum atalho? (Todas as configurações que eu realmente preciso já podem ser encontradas Network\Network Connections\Windows Firewall\, mas isso mantém o Firewall do Windows desabilitado para redes públicas e domésticas.)
Para este problema em relação às configurações do Firewall do Windows...
Descobriu-se que as configurações feitas nas Configurações do Windows estavam mexendo com os modelos ADM(X).
Aqui, configurar as Propriedades do Firewall do Windows para Perfil Privado e Público como Não configurado removeu todo o resto, exceto
Software\Policies\Microsoft\WindowsFirewall\PolicyVersionas Configurações Extras do Registro . (Agora, é claro que é possível defini-los como desejados a partir daqui também.)Isso é bom, pois verifiquei
windowsfirewall.admxem todos os Modelos Administrativos através do Windows Vista, Windows 7 e Windows 10; não havia configurações para o perfil Privado e Público : apenas para o Perfil de domínio e Perfil padrão . Se eu não encontrasse essa solução, seria necessário usar os métodos explicados abaixo.Removendo configurações extras do registro da política de domínio padrão em geral
A maneira mais fácil de resolver isso seria remover o GPO envolvido e recriá-lo apenas com as configurações necessárias. Para a política de domínio padrão, isso precisa de algumas etapas extras:
Recrie o objeto de política de grupo padrão usando Dcgpofix (somente para o domínio, não para DC):
Edite sua política manualmente para conter todas as configurações no relatório.
Outra maneira é criar manualmente um novo Modelo Administrativo contendo configurações para essas chaves do Registro;
.admxos arquivos são XML e fáceis de editar com um editor de texto.Nesse caso, para o Firewall do Windows, seria possível editar o
windowsfirewall.admx:Crie duas novas categorias. (Codifiquei os
displayNames para evitar modificar qualquer.admls.)policyCopie todos os objetos filho (ou apenas os necessários) deWF_Profile_Standard.Substitua o conteúdo conforme necessário:
StandardporPublic/Private:<parentCategory ref="WF_Profile_Public" />key="SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\...displayNames,explainTexts oupresentations, pois eles já são os mesmos para ambas as categorias existentes.Eu recomendaria usar este novo modelo apenas temporariamente e de um computador cliente com as Ferramentas de Administração de Servidor Remoto instaladas, em vez de usá-lo diretamente em um DC. Dessa forma, não causaria os mesmos problemas que você está tentando resolver com ele!
Instale ou apenas use o(s) modelo(s) correto(s) de ADM(X) lá ou em outra máquina neste Domínio. Como a captura de tela indica, este é o Windows (Server) 2008, que não pode editar as configurações do registro, como preferências de política de grupo.