出于某种原因,我的客户端的 AD 域上禁用了 Windows 防火墙。RSoP 报告显示该设置源自默认域策略上 的额外注册表设置。
如果这是在任何其他 GPO 上,我可以将其删除,但它是Default Domain Policy。在域控制器上没有设置控制这些注册表项的 ADM/ADMX 模板,因此我无法使用组策略管理编辑器对其进行编辑。(可能某个管理员在某个时候在安装了远程服务器管理工具的外部计算机上安装了一个。)
删除这些设置的正确方法是什么?我应该找到并安装正确的 ADM(X) 模板还是有任何快捷方式?(我实际需要的所有设置都可以在下面找到Network\Network Connections\Windows Firewall\,但这会使 Windows 防火墙对公共和家庭网络禁用。)
对于这个关于 Windows 防火墙设置的问题...
事实证明,Windows 设置中的设置与 ADM(X) 模板相混淆。
在这里,将私有和公共配置文件的Windows 防火墙属性配置为未配置删除了除Extra Registry Settings之外的所有其他内容。(现在,当然也可以从这里根据需要设置它们。)
Software\Policies\Microsoft\WindowsFirewall\PolicyVersion这很好,因为我
windowsfirewall.admx通过 Windows Vista、Windows 7 和 Windows 10 检查了所有管理模板;Private和Public配置文件没有任何设置:仅适用于Domain Profile和Standard Profile。如果我没有找到此解决方案,则需要使用下面解释的方法。通常从默认域策略中删除额外的注册表设置
解决此问题的最简单方法是删除所涉及的 GPO,然后仅使用必要的设置重新创建它。对于默认域策略,这需要一些额外的步骤:
使用Dcgpofix重新创建默认组策略对象(仅适用于域,不适用于 DC):
手动编辑您的策略以包含报告中的所有设置。
另一种方法是手动创建一个新的管理模板,其中包含这些注册表项的设置;
.admx文件是 XML 并且易于使用文本编辑器进行编辑。在这种情况下,对于 Windows 防火墙,可以编辑
windowsfirewall.admx:创建两个新类别。(我对 s 进行了硬编码
displayName以避免修改任何.admls。)复制.
policy_WF_Profile_Standard根据需要替换内容:
Standard用Public/Private:<parentCategory ref="WF_Profile_Public" />key="SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\...displayNames、explainTexts 或presentations,因为它们对于两个现有类别已经相同。我建议仅在安装了远程服务器管理工具的客户端计算机上临时使用这个新模板,而不是直接在 DC 上使用它。这样,它就不会导致您试图用它解决的问题!
在那里或在此域中的另一台机器上安装或仅使用正确的 ADM(X) 模板。如屏幕截图所示,这是 Windows (Server) 2008,它无法编辑注册表设置,如组策略首选项。