我们为默认域策略配置了以下 GPO:
- 计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\域配置文件设置
- 防火墙状态--离开
- 计算机配置\策略\管理模板\网络\网络连接\Windows 防火墙\域配置文件
- Windows 防火墙:保护所有网络连接——已禁用
- 计算机配置\策略\管理模板\网络\网络连接\Windows 防火墙\标准配置文件
- Windows 防火墙:保护所有网络连接——已禁用
最近,我们遇到了一些奇怪的问题,需要将几台机器从域中移除并重新加入。然而,在移除并完成首次重启后,Windows 防火墙又自动打开并阻止我们尝试远程连接以重新加入域。
虽然我不知道这在过去对我们来说是个问题,但是当一台机器从域中删除时,这是默认行为吗?
答案1
Windows 高级防火墙有三个配置文件:域、公共和私人/家庭。每个配置文件都有自己的设置。当您离开域时,域配置文件将被禁用,而私人配置文件将被激活。您需要确保私人配置文件不会使用netsh advfirewall命令激活。
答案2
默认情况下,Windows 防火墙处于打开状态。如果您有通过 GPO 设置的关闭防火墙的策略,则无法确保在从域中删除防火墙时会设置您想要或不想要的策略。重新加入域后,应始终使用命令提示符中的以下命令手动更新 GP。
GPUpdate /force
这可确保系统完全采用最新的策略。真正防止这种情况发生的唯一方法是在本地策略级别禁用它。