细粒度的 Windows 防火墙规则控制

有没有办法使用组策略（或其他内置机制）来应用防火墙规则，这样规则的子集被锁定并且无法更改或覆盖，但另一个子集可以？例如，我想锁定核心网络规则和/或文件共享规则，以便本地管理员无法更改它们，但是，他们可以添加规则来打开 SQL、IIS 等的端口...

我知道使用组策略可以不合并规则，但这更像是一种锤子式的方法。我需要更细致的方法。

可以使用内置工具完成此操作吗？还是我们需要某种第三方托管防火墙应用程序？