Windows-Server-2008-R2

如何從預設域策略中刪除額外的系統資料庫設置?

  • May 19, 2020

出於某種原因,我的客戶端的 AD 域上禁用了 Windows 防火牆。RSoP 報告顯示該設置源自預設域策略上 的額外系統資料庫設置

RSoP 額外系統資料庫設置

如果這是在任何其他 GPO 上,我可以將其刪除,但它是Default Domain Policy。在域控制器上沒有設置控制這些系統資料庫項的 ADM/ADMX 模板,因此我無法使用組策略管理編輯器對其進行編輯。(可能某個管理員在某個時候在安裝了遠端伺服器管理工具的外部電腦上安裝了一個。)

刪除這些設置的正確方法是什麼?我應該找到並安裝正確的 ADM(X) 模板還是有任何快捷方式?(我實際需要的所有設置都可以在下面找到Network\Network Connections\Windows Firewall\,但這會使 Windows 防火牆對公共和家庭網路禁用。)

對於這個關於 Windows 防火牆設置的問題…

事實證明,Windows 設置中的設置與 ADM(X) 模板相混淆。

Computer Configuration
 |+ Policies 
    |+ Windows Settings 
       |+ Security Settings
          |+ Windows Firewall with Advanced Security - LDAP://...

在這裡,將私有公共配置文件的Windows 防火牆屬性配置為未配置刪除了除Extra Registry Settings之外的所有其他內容。(現在,當然也可以從這裡根據需要設置它們。)Software\Policies\Microsoft\WindowsFirewall\PolicyVersion

具有高級安全性的 Windows 防火牆 - LDAP://…

這很好,因為我windowsfirewall.admx通過 Windows Vista、Windows 7 和 Windows 10 檢查了所有管理模板;PrivatePublic配置文件沒有任何設置:僅適用於Domain ProfileStandard Profile。如果我沒有找到此解決方案,則需要使用下面解釋的方法。


通常從預設域策略中刪除額外的系統資料庫設置

解決此問題的最簡單方法是刪除所涉及的 GPO,然後僅使用必要的設置重新創建它。對於預設域策略,這需要一些額外的步驟:

  1. 列印/保存所有預設域策略GPO 設置的報告。
  2. 使用Dcgpofix重新創建預設組策略對象(僅適用於域,不適用於 DC):
DCGPOFix /ignoreschema /target:Domain
  1. 手動編輯您的策略以包含報告中的所有設置。

另一種方法是手動創建一個新的管理模板,其中包含這些系統資料庫項的設置;.admx文件是 XML 並且易於使用文本編輯器進行編輯。

在這種情況下,對於 Windows 防火牆,可以編輯windowsfirewall.admx

  1. 創建兩個新類別。(我對 s 進行了硬編碼displayName以避免修改任何.admls。)

在此處輸入圖像描述 2. 複製. policy_WF_Profile_Standard 3. 根據需要替換內容:StandardPublic/ Private

  • <parentCategory ref="WF_Profile_Public" />
  • key="SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\...
  • 無需替換任何displayNames、explainTexts 或presentations,因為它們對於兩個現有類別已經相同。

我建議僅在安裝了遠端伺服器管理工具的客戶端電腦上臨時使用這個新模板,而不是直接在 DC 上使用它。這樣,它就不會導致您試圖用它解決的問題!

引用自:https://serverfault.com/questions/880031