如何从默认域策略中删除额外的registry设置?
出于某种原因,我的客户端的AD域上禁用了Windows防火墙。 RSoP报告显示该设置源自默认域策略上的额外registry设置 。
如果这是在任何其他GPO我可以刚刚删除它,但它是默认域策略 。 在域控制器上,没有设置ADM / ADMX模板来控制这些registry项,所以我无法使用组策略pipe理编辑器对其进行编辑。 (可能有些pipe理员在某个时候在安装了远程服务器pipe理工具的外部计算机上有一个pipe理员。)
什么是删除这些设置的正确方法? 我应该find并安装正确的ADM(X)模板还是有任何快捷方式? (我实际需要的所有设置都可以在Network\Network Connections\Windows Firewall\ ,但这样可以使公共和家庭networking的Windows防火墙保持禁用状态。)
对于有关Windows防火墙设置的这个问题…
事实certificate,在Windows设置中进行的设置与ADM(X)模板混淆。
Computer Configuration |+ Policies |+ Windows Settings |+ Security Settings |+ Windows Firewall with Advanced Security - LDAP://...
在这里,为私有和公共configuration文件configuration“ Windows防火墙属性 ” 未configuration,从“ 额外registry设置”中删除了除Software\Policies\Microsoft\WindowsFirewall\PolicyVersion所有内容。 (现在,当然也可以把它们设置为从这里通缉。)
这很好,因为我通过Windows Vista,Windows 7和Windows 10在所有pipe理模板中检查了windowsfirewall.admx ; 没有任何私人和公共个人资料的设置:仅用于“ 域configuration文件”和“ 标准configuration文件” 。 如果我没有find这个解决scheme,它将需要使用下面解释的方法。
一般从默认域策略中删除额外的registry设置
解决这个问题的最简单的方法是删除涉及的GPO,并只用必要的设置重新创build它 。 对于默认域策略,这需要一些额外的步骤:
- 打印/保存所有默认域策略 GPO设置的报告。
-
使用Dcgpofix重新创build默认的组策略对象(仅适用于域,不适用于DC):
DCGPOFix /ignoreschema /target:Domain -
手动编辑您的策略以包含报告中的所有设置。
其他方法是手动创build一个新的pipe理模板,其中包含这些registry项的设置; .admx文件是XML并且易于使用文本编辑器进行编辑。
在这种情况下,Windows防火墙可以编辑windowsfirewall.admx :
-
创build两个新的类别。 (我对
displayName硬编码,以避免修改任何.adml。)
-
复制
WF_Profile_Standard所有(或仅仅是必需的)子policy对象。 -
根据需要更换内容:
Standard与Public/Private:-
<parentCategory ref="WF_Profile_Public" /> -
key="SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\... - 无需replace任何
displayName,explainText或presentation因为它们对于两个现有类别都是相同的。
-
我build议暂时使用这个新的模板,并从安装了远程服务器pipe理工具的客户端计算机,而不是直接在DC上使用它。 这样,它不会引起你正在试图解决的问题!
什么是删除这些设置的正确方法?
在此域中的其他计算机上安装或只使用正确的ADM(X)模板。 如屏幕截图所示,这是Windows(Server)2008,它不能像组策略首选项那样编辑registry设置。