我想强制禁用这里的内部机器的防火墙,这样我就可以用脚本来操作它们。尝试使用 GPO 来实现,但它并没有像我预期的那样导致防火墙设置面板被禁用并变灰。显然我做错了什么。
以下是我所做的:
- 创建一个 OU 来存放计算机对象。将一个测试箱移到那里。
- 创建了一个新的组策略对象,名为“Firewall_Off”
- 选择新创建的组策略。
- 右键单击新创建的策略并选择编辑。
- 展开“计算机配置”文件夹,然后展开“管理模板”文件夹。
- 展开网络文件夹,然后展开网络连接文件夹,然后展开 Windows 防火墙文件夹。
- 选择标准配置文件文件夹。
- 双击 Windows 防火墙:保护所有网络连接选项。
- 选择已禁用,然后单击确定。
- 选择域配置文件文件夹。
- 双击 Windows 防火墙:保护所有网络连接选项。
- 选择已禁用,然后单击确定。
- 关闭“组策略”对话框。
我假设这应该将“保护所有网络连接 = 禁用”的组策略应用于该 OU 内的任何计算机对象。我之前曾成功地对审计策略执行过此操作。
重启测试机。防火墙控制面板仍由用户管理。反复运行 gpupdate。反复重启。无变化。
线索?
答案1
您是否运行了策略结果集工具?在命令提示符或运行中,输入 RSOP.msc 您将看到是否有其他策略重新启用并覆盖您尝试应用的策略。这可能有点棘手,但该工具确实有帮助。还有一个命令行工具,在此处讨论GP结果
答案2
如果您需要完全禁用它,一个简单的方法是通过 GPO 从 Windows 服务禁用 Windows 防火墙服务。您可以将其设置为:
计算机配置 -> Windows 设置 -> 系统服务 -> Windows 防火墙/ICS
将其设置为禁用(或手动,如果你愿意)
答案3
三件事:
- 创建策略后,您是否关闭了策略编辑器?GPO 只有在您关闭编辑器后才会保存
- 您是否右键单击 GPMC 中的策略并选择强制执行?
- 您是否检查过事件日志中是否存在策略错误?
答案4
您可以使用以下策略:
计算机配置、管理模板、网络、网络连接、禁止在 DNS 域上使用 Internet 连接防火墙
将其设置为启用,防火墙在连接到网络时将不会运行。根据解释,这在 SP2 中已被 Windows 防火墙取代,但我只能说它对我来说很管用!