我们请求允许客户更改某些 OU 中服务器的防火墙设置。这些 OU 继承了一些策略,将公共和专用网络配置文件的防火墙设置为关闭。我想知道是否有办法以某种方式覆盖它,以便允许他们更改防火墙设置。这样它就关闭并变灰了。似乎创建一个“未配置”的策略不能作为覆盖值“启用”或“禁用”我制定了这样的测试策略。
但它保持这样
在这里,政策的顺序似乎无关紧要。我们是否需要更改继承的策略设置,因为无法用“未配置”覆盖“关闭”
AskOverflow.Dev
您可以使用 WMI 筛选器筛选特定 OU 中的计算机。在组策略管理控制台中向下滚动到WMI 过滤器并使用以下参数创建新的 WMI 过滤器:
命名空间:
root\RSOP\Computer询问:
Select * From RSOP_Session Where NOT SOM = 'OU=OrgUnit,DC=Domain,DC=com'确保将 'OU=OrgUnit,DC=Domain,DC=com' 替换为您的服务器所在的 OU。
接下来,选择您的 GPO 并在WMI 过滤下拉列表中选择您的新过滤器。
这将过滤掉此 GPO,使其无法应用于查询中指定的 OU 中的服务器。
注意:如果要过滤掉的服务器不在同一个OU中,而是在子OU中,则需要修改查询方式如下,包含所有子OU:
Select * From RSOP_Session Where NOT SOM LIKE '%OU=OrgUnit,DC=Domain,DC=com'在一般情况下无法覆盖组策略,但对于 Windows 防火墙,有一个选项可以让您这样做。
在规则合并下的配置文件(域/私有/公共)设置下,有一个选项“应用本地防火墙规则”。它不允许您修改已部署的规则,但它确实允许应用任何需要进行的本地更改。