Назад | Перейти на главную страницу

Как удалить дополнительные параметры реестра из политики домена по умолчанию?

По какой-то причине брандмауэр Windows был отключен в домене AD моего клиента. Отчет RSoP показывает, что этот параметр исходит из Дополнительные настройки реестра на Политика домена по умолчанию.

Если бы это было на любом другом объекте групповой политики, я бы просто удалил его, но это Политика домена по умолчанию. На контроллере домена нет такого шаблона ADM / ADMX, который управляет этими ключами реестра, поэтому я не могу редактировать их с помощью редактора управления групповой политикой. (Возможно, у какого-то администратора в какой-то момент был один на внешнем компьютере с установленными средствами удаленного администрирования сервера.)

Как правильно удалить эти настройки? Должен ли я найти и установить правильный шаблон ADM (X) или есть какой-либо ярлык? (Все необходимые мне настройки можно найти в Network\Network Connections\Windows Firewall\ уже, но при этом брандмауэр Windows остается отключенным для общедоступных и домашних сетей.)

Для этой проблемы с настройками брандмауэра Windows ...

Оказалось, что настройки, сделанные в Настройки Windows возились с шаблонами ADM (X).

Computer Configuration
  |+ Policies 
     |+ Windows Settings 
        |+ Security Settings
           |+ Windows Firewall with Advanced Security - LDAP://...

Здесь, настраивая Свойства брандмауэра Windows для Частный и Общедоступный профиль к Не настроено удалил все остальное, кроме Software\Policies\Microsoft\WindowsFirewall\PolicyVersion из Дополнительные настройки реестра. (Теперь, конечно, можно установить их по желанию и здесь.)

Это хорошо, поскольку я проверил windowsfirewall.admx во всех административных шаблонах в Windows Vista, Windows 7 и Windows 10; не было никаких настроек для Частный и Общественные профиль: только для Профиль домена и Стандартный профиль. Если бы я не нашел этого решения, мне пришлось бы использовать методы, описанные ниже.

Удаление дополнительных настроек реестра из политики домена по умолчанию в целом

Самый простой способ решить эту проблему - удалить задействованный объект групповой политики и воссоздать его только с необходимыми настройками. Для Политика домена по умолчанию для этого нужны дополнительные шаги:

  1. Распечатайте / сохраните отчет обо всех ваших Политика домена по умолчанию Настройки GPO.

  2. Восстановите объект групповой политики по умолчанию, используя Dcgpofix (только для домена, не для DC):

    DCGPOFix /ignoreschema /target:Domain

  3. Отредактируйте свою политику вручную, чтобы включить в отчет все параметры.

Другой способ - вручную создать новый административный шаблон содержащие настройки для этих ключей реестра; .admx файлы имеют формат XML и легко редактируются с помощью текстового редактора.

В этом случае для брандмауэра Windows можно было бы отредактировать windowsfirewall.admx:

  1. Создайте две новые категории. (Я жестко запрограммировал displayNames, чтобы избежать изменения любых .admlс.)

  2. Скопируйте весь (или только необходимый) дочерний элемент policy объекты WF_Profile_Standard.

  3. При необходимости замените содержимое: Standard с участием Public / Private:

    • <parentCategory ref="WF_Profile_Public" />
    • key="SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\...
    • Нет необходимости заменять любые displayNameс, explainTexts или presentations, поскольку они уже одинаковы для обеих существующих категорий.

Я бы рекомендовал использовать этот новый шаблон только временно и с клиентского компьютера, имеющего Инструменты удаленного администрирования сервера установлен, вместо этого используя его непосредственно на DC. Таким образом, это не вызовет тех самых проблем, которые вы пытаетесь решить с его помощью!

Как правильно удалить эти настройки?

Установите или просто используйте правильный шаблон (ы) ADM (X) там или на другом компьютере в этом домене. Как показано на снимке экрана, это Windows (Server) 2008, которая не может редактировать параметры реестра, такие как настройки групповой политики.