我发现了一个有趣的问题,我设置了一个 GPO 来控制防火墙策略以“阻止(默认)”入站连接,但该设置并未完全执行。它仍然允许管理员将其从“阻止(默认)”更改为“阻止所有连接”。
为什么 GPO 没有强制我提供的设置?
更详细地:
我指的设置是:
- 转到 Windows 高级防火墙
- 右键单击属性
- 在任何配置文件选项卡下,在我的例子中为域名配置文件
- 状态 > 入站连接
GPO 明确设置为“阻止(默认)”,但是一旦应用 GPO,仍然可以更改此选项。
谢谢,
保罗
答案1
在几乎所有情况下,管理员都可以更改 GPO 设置的任何内容 - 它只是一个注册表设置,而 PC 上的管理员可以以某种方式更改任何注册表设置。如果您的目的是锁定这些机器,那么用户不应该是本地管理员。