Active-Directory

不在業務域上時啟動 Windows 防火牆的組策略設置

  • July 6, 2018

幾天來,我一直試圖弄清楚 GPO 設置,但無法弄清楚如何將某種過濾器應用於 Windows 防火牆以在任何員工不在域中時將其打開 (10.0.-.-),在使用 VPN、在家工作等時會發生這種情況。

GPO 中的 Windows 防火牆設置

我在正確的位置嗎?我想我可以以某種方式在“Windows 防火牆:保護所有網路連接”上應用過濾器,但我找不到正確的方法來解決這個問題。

域配置文件中禁用保護所有網路連接正是您想要的。還要檢查標準配置文件的此設置是否已啟用。網路配置文件的確定不是由子網和遮罩完成的:即使網路具有相同的 IP 地址範圍,域電腦也會在公司網路之外受到保護。網路位置感知( NLA)服務執行此確定。從 Windows 7 開始,過程是這樣的:

  1. 連接特定 DNS 名稱與系統資料庫項進行比較。(Win XP 單獨使用這個)。
HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName
  1. 匹配時 NLA 嘗試使用 LDAP 聯繫域控制器。在 1+2 上:Domain Profile
  2. 如果兩者都不匹配,NLA 將評估已知網路配置文件的網路特徵。
  3. 如果網路未知,則會提示使用者在網路配置文件之間進行選擇:
  • 家庭網路
  • 工作網路
  • 公共網路
  1. 確定網路配​​置文件後,將應用正確的防火牆配置文件 Public/ Private

引用自:https://serverfault.com/questions/919790