Назад | Перейти на главную страницу

Использование GPO в домене Active Directory для принудительного отключения брандмауэра Windows на рабочих станциях - как?

Я хочу заставить внутренние машины отключить брандмауэр, чтобы я мог управлять ими с помощью скриптов. Пытаюсь сделать это с помощью GPO, но это не приводит к отключенной и затемненной серой панели настроек брандмауэра, как я ожидал. Видимо я что-то не так делаю.

Вот что я сделал:

  1. Создал OU для парковки компьютерных объектов. Переместил туда тестовую коробку.
  2. Создан новый объект групповой политики с именем «Firewall_Off».
  3. Выберите только что созданную групповую политику.
  4. Щелкните правой кнопкой мыши вновь созданную политику и выберите «Изменить».
  5. Разверните папку Computer Configuration, затем папку Administrative Templates.
  6. Разверните сетевую папку, затем папку «Сетевые подключения», затем папку брандмауэра Windows.
  7. Выберите папку Standard Profile.
  8. Дважды щелкните брандмауэр Windows: защитить все сетевые подключения.
  9. Выберите Disabled, затем нажмите OK.
  10. Выберите папку профиля домена.
  11. Дважды щелкните параметр Брандмауэр Windows: защитить все сетевые подключения.
  12. Выберите Disabled, затем нажмите OK.
  13. Закройте диалоговое окно групповой политики.

Я предполагаю, что это должно затем применить групповую политику «защитить все сетевые соединения = Отключить» к любому объекту компьютера внутри этого OU. Я успешно делал это раньше для политик аудита.

Перезагрузил тестовую машину. Панель управления брандмауэром остается управляемой пользователем. Неоднократно запускал gpupdate. Перезагружался неоднократно. Без изменений.

Ключ к разгадке?

Если вам нужно полностью отключить его, простой способ сделать это - отключить службу брандмауэра Windows из служб Windows через GPO. Вы можете установить его:

Конфигурация компьютера -> Настройки Windows -> Системные службы -> Брандмауэр Windows / ICS

установите его как отключенное (или вручную, если хотите)

Вы использовали инструмент результирующего набора политик? В командной строке или в «Выполнить» введите RSOP.msc. Вы увидите, есть ли другая политика, которая снова включает это и отменяет политику, которую вы пытаетесь применить. Tjis может быть немного сложным, но инструмент действительно помогает. Это также инструмент командной строки, который обсуждается здесь GPresults

Три вещи:

  1. После создания политики вы закрыли редактор политик? Объекты групповой политики не сохраняются, пока вы не закроете редактор
  2. Вы щелкнули правой кнопкой мыши политику в консоли управления групповыми политиками и выбрали принудительно?
  3. Вы проверяли журналы событий на наличие ошибок политики?

Вы можете использовать политику, которую можно найти по адресу:

Конфигурация компьютера, административные шаблоны, сеть, сетевые подключения, запретить использование брандмауэра подключения к Интернету в вашем домене DNS

Включите его, и брандмауэр не будет работать при подключении к вашей сети. Согласно объяснению, это было заменено в SP2 брандмауэром Windows, но все, что я могу сказать, это то, что у меня это работает!