Windows-Server-2003

在 Active Directory 域中使用 GPO 強制工作站 Windows 防火牆禁用 - 如何?

  • January 14, 2010

我想強制這裡的內部機器禁用防火牆,以便我可以使用腳本來操作它們。嘗試使用 GPO 執行此操作,但不會像我期望的那樣導致防火牆設置面板被禁用和灰顯。顯然我做錯了什麼。

這是我所做的:

  1. 創建了一個 OU 來存放電腦對象。在那裡移動了一個測試框。
  2. 創建了一個名為“Firewall_Off”的新組策略對象
  3. 選擇新創建的組策略。
  4. 右鍵點擊新創建的策略並選擇編輯。
  5. 展開電腦配置文件夾,然後展開管理模板文件夾。
  6. 展開網路文件夾,然後是網路連接文件夾,然後是 Windows 防火牆文件夾。
  7. 選擇標準配置文件文件夾。
  8. 點兩下 Windows 防火牆:保護所有網路連接選項。
  9. 選擇禁用,然後點擊確定。
  10. 選擇域配置文件文件夾。
  11. 點兩下 Windows 防火牆:保護所有網路連接選項。
  12. 選擇禁用,然後點擊確定。
  13. 關閉組策略對話框。

我假設這應該將“保護所有網路連接=禁用”的組策略應用於該 OU 內的任何電腦對象。我以前成功地為審計策略做過這個。

重啟了測試機。防火牆控制面板仍由使用者管理。反復執行 gpupdate。反復重啟。不用找了。

線索?

您是否執行過策略結果集工具?在命令提示符處或在執行中,輸入 RSOP.msc 您將看到是否有另一個策略將其重新打開並覆蓋您嘗試應用的策略。Tjis 可能有點棘手,但該工具確實很有幫助。Thre 還有一個命令行工具,此處將討論GPresults

如果您需要完全禁用它,一個簡單的方法是通過 GPO 從 Windows 服務禁用 Windows 防火牆服務。您可以將其設置為:

電腦配置 -> Windows 設置 -> 系統服務 -> Windows 防火牆/ICS

將其設置為禁用(或手動,如果您願意)

引用自:https://serverfault.com/questions/102395