我们收到一个请求,允许客户更改某些 OU 中服务器的防火墙设置。这些 OU 继承了一些策略,这些策略将公共和私有网络配置文件的防火墙设置为关闭。我想知道是否有办法以某种方式覆盖此策略,以便允许他们更改防火墙设置。这样它就会关闭并变灰。似乎创建带有“未配置”的策略无法覆盖“启用”或“禁用”值,我制定了这样的测试策略。
但它仍然这样
看来策略的顺序在这里并不重要。我们是否需要更改继承的策略设置,因为无法用“未配置”覆盖“关闭”
答案1
您可以使用 WMI 筛选器筛选特定 OU 中的计算机。在组策略管理控制台中向下滚动到WMI 筛选器并使用以下参数创建新的 WMI 过滤器:
命名空间:root\RSOP\Computer
询问:Select * From RSOP_Session Where NOT SOM = 'OU=OrgUnit,DC=Domain,DC=com'
确保将“OU=OrgUnit,DC=Domain,DC=com”替换为服务器所在的 OU。
接下来,选择您的 GPO 并选择您的新过滤器WMI 过滤落下。
这将过滤掉此 GPO,使其不适用于查询中指定的 OU 中的服务器。
注意:如果您想要过滤掉的服务器不在同一个 OU 中,而是在子 OU 中,则需要按以下方式修改查询以包含所有子 OU:
Select * From RSOP_Session Where NOT SOM LIKE '%OU=OrgUnit,DC=Domain,DC=com'
答案2
在一般情况下不可能覆盖组策略,但对于 Windows 防火墙,有一个选项可以让您这样做。
在规则合并下的配置文件(域/私有/公共)设置下,有一个选项“应用本地防火墙规则”。它不允许您修改已部署的规则,但允许应用任何需要进行的本地更改。