在 Active Directory 域中使用 GPO 強制工作站 Windows 防火牆禁用 - 如何？

我想強制這裡的內部機器禁用防火牆，以便我可以使用腳本來操作它們。嘗試使用 GPO 執行此操作，但不會像我期望的那樣導致防火牆設置面板被禁用和灰顯。顯然我做錯了什麼。

這是我所做的：

1. 創建了一個 OU 來存放電腦對象。在那裡移動了一個測試框。
2. 創建了一個名為“Firewall_Off”的新組策略對象
3. 選擇新創建的組策略。
4. 右鍵點擊新創建的策略並選擇編輯。
5. 展開電腦配置文件夾，然後展開管理模板文件夾。
6. 展開網路文件夾，然後是網路連接文件夾，然後是 Windows 防火牆文件夾。
7. 選擇標準配置文件文件夾。
8. 點兩下 Windows 防火牆：保護所有網路連接選項。
9. 選擇禁用，然後點擊確定。
10. 選擇域配置文件文件夾。
11. 點兩下 Windows 防火牆：保護所有網路連接選項。
12. 選擇禁用，然後點擊確定。
13. 關閉組策略對話框。

我假設這應該將“保護所有網路連接=禁用”的組策略應用於該 OU 內的任何電腦對象。我以前成功地為審計策略做過這個。

重啟了測試機。防火牆控制面板仍由使用者管理。反復執行 gpupdate。反復重啟。不用找了。

線索？

您是否執行過策略結果集工具？在命令提示符處或在執行中，輸入 RSOP.msc 您將看到是否有另一個策略將其重新打開並覆蓋您嘗試應用的策略。Tjis 可能有點棘手，但該工具確實很有幫助。Thre 還有一個命令行工具，此處將討論GPresults

如果您需要完全禁用它，一個簡單的方法是通過 GPO 從 Windows 服務禁用 Windows 防火牆服務。您可以將其設置為：

電腦配置 -> Windows 設置 -> 系統服務 -> Windows 防火牆/ICS

將其設置為禁用（或手動，如果您願意）

引用自：https://serverfault.com/questions/102395