通過 GPO 控制 Windows XP 和 7 防火牆

我從以前的同事那裡學到了一些壞習慣，我想我應該改變其中的一些。僅禁用 Windows 防火牆是標準做法，因為它導致的問題比過去解決的問題多。

我怎樣才能慢慢改變這一點，值得付出努力嗎？我想推出一個允許流量但記錄哪些應用程序連接到網際網路的 GPO。因此，我可以根據需要有選擇地開始對 GPO 進行例外處理。

這在 XP（25% 的 PC）和 Windows 7（75% 的 PC）環境中是否可行？

謝謝

根據您配置 Active Directory 的方式，您可以將其應用到桌面的臨時 OU，將 GPO 應用到該臨時 OU，然後一次將它們移動到其中，直到它們全部完成。然後，當您感到高興時，將其在 AD 中移得更高，以便它適用於甚至新機器。

我們也這樣做了，當它們全部啟用時，生活會更好。好的部分是中央 GP 可以更輕鬆地進行批量更改，但要花一些時間找出哪些應用程序需要打開哪些應用程序。大多數使用者不需要任何打開。但是有些服務可以（我們的防病毒軟體、RDP 和一些啟用了列印機共享的埠需要）。

引用自：https://serverfault.com/questions/528304