Windows-Server-2003
在 Active Directory 域中使用 GPO 強制工作站 Windows 防火牆禁用 - 如何?
我想強制這裡的內部機器禁用防火牆,以便我可以使用腳本來操作它們。嘗試使用 GPO 執行此操作,但不會像我期望的那樣導致防火牆設置面板被禁用和灰顯。顯然我做錯了什麼。
這是我所做的:
- 創建了一個 OU 來存放電腦對象。在那裡移動了一個測試框。
- 創建了一個名為“Firewall_Off”的新組策略對象
- 選擇新創建的組策略。
- 右鍵點擊新創建的策略並選擇編輯。
- 展開電腦配置文件夾,然後展開管理模板文件夾。
- 展開網路文件夾,然後是網路連接文件夾,然後是 Windows 防火牆文件夾。
- 選擇標準配置文件文件夾。
- 點兩下 Windows 防火牆:保護所有網路連接選項。
- 選擇禁用,然後點擊確定。
- 選擇域配置文件文件夾。
- 點兩下 Windows 防火牆:保護所有網路連接選項。
- 選擇禁用,然後點擊確定。
- 關閉組策略對話框。
我假設這應該將“保護所有網路連接=禁用”的組策略應用於該 OU 內的任何電腦對象。我以前成功地為審計策略做過這個。
重啟了測試機。防火牆控制面板仍由使用者管理。反復執行 gpupdate。反復重啟。不用找了。
線索?
您是否執行過策略結果集工具?在命令提示符處或在執行中,輸入 RSOP.msc 您將看到是否有另一個策略將其重新打開並覆蓋您嘗試應用的策略。Tjis 可能有點棘手,但該工具確實很有幫助。Thre 還有一個命令行工具,此處將討論GPresults
如果您需要完全禁用它,一個簡單的方法是通過 GPO 從 Windows 服務禁用 Windows 防火牆服務。您可以將其設置為:
電腦配置 -> Windows 設置 -> 系統服務 -> Windows 防火牆/ICS
將其設置為禁用(或手動,如果您願意)