我可以使用 Windows Server 2003 服务器上的组策略来确保域中的每台计算机都已打开防火墙吗

tag-icon tag-icon windows active-directory
我可以使用 Windows Server 2003 服务器上的组策略来确保域中的每台计算机都已打开防火墙吗

我想确保域中的每台计算机都打开了 Windows 防火墙,并且用户(即使以管理员身份登录)也无法关闭它。

我知道如何在每台机器上本地执行此操作,但如何在 Windows Server 2003 上执行此操作以确保这适用于每台计算机?

答案1

是的您可以通过 GPO 管理 Windows 防火墙。

计算机配置 > Windows 设置 > 安全设置 > Windows 防火墙。

我将 GPO 用于混合 2k3 和 2k8 环境。

你能锁定本地管理员吗?我认为不能。为此,你可能需要一个集中管理的商业防火墙包。我知道赛门铁克端点保护例如,具有此功能。

答案2

就像施罗德说的,您可以通过 GPO udner 管理防火墙设置:

计算机配置 -> Windows 设置 -> 安全设置 -> 高级安全 Windows 防火墙

但是这些设置会影响登录到 PC 的每个人。包括管理员。访问属性时,它会显示此信息(请注意灰色的防火墙状态)。

在此处输入图片描述

我写了一篇有关这些设置的博客,您可以阅读:http://zeda.nl/b21

答案3

我也在 Win2k3 和 Win2k8 环境中使用过 GPO。请查看 Microsoft 的文章使用组策略部署 Windows 防火墙设置如果还没有,则gpupdate在机器上运行或等待设置被推送。

至于用户权限,我建议只授予其运作所需的最低限度。那些要求更多权限但实际上并不需要的用户会想办法绕过这一安全措施,或者干脆放弃。我总是说,除非有书面记录,否则不能授予,以避免该用户日后遇到法律问题。

相关内容