由于某种原因,我的客户端的 AD 域上的 Windows 防火墙被禁用。RSoP 报告显示该设置源自额外的注册表设置在 默认域策略。
如果这是在任何其他 GPO 上,我就可以将其删除,但它是默认域策略。在域控制器上没有设置控制这些注册表项的 ADM/ADMX 模板,因此我无法使用组策略管理编辑器编辑它们。(可能某些管理员在某个时候在安装了远程服务器管理工具的外部计算机上安装了该工具。)
删除这些设置的正确方法是什么?我应该找到并安装正确的 ADM(X) 模板吗?或者是否有任何快捷方式?(我实际需要的所有设置Network\Network Connections\Windows Firewall\都可以在下面找到,但这会使 Windows 防火墙在公共和家庭网络中保持禁用状态。)
答案1
对于与 Windows 防火墙设置相关的这个问题...
事实证明,Windows 设置正在弄乱 ADM(X) 模板。
Computer Configuration
|+ Policies
|+ Windows Settings
|+ Security Settings
|+ Windows Firewall with Advanced Security - LDAP://...
在这里,配置Windows 防火墙属性为了私人的和公开资料到未配置Software\Policies\Microsoft\WindowsFirewall\PolicyVersion删除了除额外的注册表设置。(现在,当然也可以从这里根据需要进行设置。)
这很好,因为我检查了windowsfirewall.admxWindows Vista、Windows 7 和 Windows 10 中的所有管理模板;没有任何设置私人的和民众个人资料:仅适用于域名简介和标准型材。如果我没有找到这个解决方案,就需要使用下面解释的方法。
从默认域策略中删除额外的注册表设置
解决这个问题最简单的方法是删除相关的 GPO 并重新创建只需进行必要的设置即可。对于默认域策略这需要一些额外的步骤:
- 打印/保存所有报告默认域策略GPO 设置。
使用以下方法重新创建默认组策略对象固定化(仅适用于域,不适用于 DC):
DCGPOFix /ignoreschema /target:Domain手动编辑您的策略以包含报告中的所有设置。
其他方法是手动创建新的管理模板包含这些注册表项的设置;.admx文件是 XML 格式的,可以使用文本编辑器轻松编辑。
在这种情况下,对于 Windows 防火墙,可以编辑windowsfirewall.admx:
创建两个新类别。(我对 s 进行了硬编码,
displayName以避免修改任何.admls。)
复制所有(或仅所需的)子
policy对象WF_Profile_Standard。按要求替换内容:
Standard用Public/Private:<parentCategory ref="WF_Profile_Public" />key="SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\...- 无需替换任何
displayNames、explainTexts 或presentations,因为它们对于两个现有类别来说已经相同。
我建议只暂时使用这个新模板,并且从具有远程服务器管理工具安装,而不是直接在 DC 上使用它。这样,它就不会导致您试图用它解决的问题!
答案2
删除这些设置的正确方法是什么?
在该域中或在该域的另一台机器上安装或使用正确的 ADM(X) 模板。如屏幕截图所示,这是 Windows (Server) 2008,无法编辑注册表设置(如组策略首选项)。