Изменить или удалить локальное правило брандмауэра Windows с помощью правил брандмауэра групповой политики

Допустим, когда я устанавливаю определенную программу на клиент Windows, расположенный в подсети 192.168.1.0/24, она создает правило локального брандмауэра, которое разрешает входящие подключения к порту 1234 из ЛЮБОЙ подсети. Это обычное явление: антивирусное программное обеспечение, программное обеспечение удаленного доступа, такое как VNC и т. Д., Делают это, чтобы избежать проблем с брандмауэром во время развертывания.

Я хочу создать более строгий набор правил брандмауэра с использованием групповой политики, который разрешает входящие подключения к порту 1234 только из определенной удаленной подсети (например, 192.168.101.0/24). Поэтому я добавляю новое правило брандмауэра Windows через групповую политику, чтобы разрешить входящие подключения к порту 1234 из сети 192.168.101.0/24.

В настоящее время в моей среде правила брандмауэра Windows для клиентов Windows, которые устанавливаются через групповую политику домена, настроены на Слияние с локальными правилами брандмауэра Windows. Конечным результатом является то, что более мягкие локальные правила имеют приоритет над правилами брандмауэра, установленными с использованием политики домена. В частности, я все еще могу получить доступ к клиенту через порт 1234 из любой подсети, а не только из 192.168.101.0/24.

Если возможно, я хочу использовать параметры брандмауэра групповой политики, чтобы изменить, удалить или обнулить параметр локального брандмауэра (и не использовать сценарий запуска для удаления нежелательного правила брандмауэра). Я думаю, что самый простой способ сделать это - указать какой-то приоритет правила брандмауэра, при котором общее локальное правило отменяется более конкретным правилом домена. Однако я не уверен, что это возможно.

Какие-либо предложения?