Active-Directory
不在業務域上時啟動 Windows 防火牆的組策略設置
幾天來,我一直試圖弄清楚 GPO 設置,但無法弄清楚如何將某種過濾器應用於 Windows 防火牆以在任何員工不在域中時將其打開 (10.0.-.-),在使用 VPN、在家工作等時會發生這種情況。
我在正確的位置嗎?我想我可以以某種方式在“Windows 防火牆:保護所有網路連接”上應用過濾器,但我找不到正確的方法來解決這個問題。
從域配置文件中禁用保護所有網路連接正是您想要的。還要檢查標準配置文件的此設置是否已啟用。網路配置文件的確定不是由子網和遮罩完成的:即使網路具有相同的 IP 地址範圍,域電腦也會在公司網路之外受到保護。網路位置感知( NLA)服務執行此確定。從 Windows 7 開始,過程是這樣的:
- 連接特定 DNS 名稱與系統資料庫項進行比較。(Win XP 單獨使用這個)。
HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName
- 匹配時 NLA 嘗試使用 LDAP 聯繫域控制器。在 1+2 上:
Domain Profile
。- 如果兩者都不匹配,NLA 將評估已知網路配置文件的網路特徵。
- 如果網路未知,則會提示使用者在網路配置文件之間進行選擇:
- 家庭網路
- 工作網路
- 公共網路
- 確定網路配置文件後,將應用正確的防火牆配置文件
Public
/Private
。