у нас есть запрос на изменение настроек брандмауэра для серверов в некоторых подразделениях. Эти OU наследуют некоторую политику, которая отключает брандмауэр для публичных и частных сетевых профилей. Интересно, есть ли способ как-то переопределить это, чтобы им было разрешено изменять настройки брандмауэра. Таким образом, он отключен и неактивен. Кажется, что создание политики с "
Я сделал такую политику тестирования.
Но так и остается
Кажется, порядок политик здесь не имеет значения. Нужно ли нам изменять унаследованные параметры политики, потому что невозможно заменить «выкл.» На «не настроено»
Вы можете фильтровать компьютеры в определенном подразделении с помощью фильтров WMI. В консоли управления групповой политикой прокрутите вниз до Фильтры WMI и создайте новый фильтр WMI со следующими параметрами:
Пространство имен: root \ RSOP \ Computer
Запрос: Выберите * Из RSOP_Session, где НЕ SOM = 'OU = OrgUnit, DC = Domain, DC = com'
Убедитесь, что вы заменили 'OU = OrgUnit, DC = Domain, DC = com' на OU, в котором находятся ваши серверы.
Затем, выберите свой объект групповой политики и выберите новый фильтр в раскрывающемся списке Фильтрация WMI .
Это отфильтрует применение этого объекта групповой политики к серверам в подразделении, указанном в запросе.
Примечание: если требуемые серверы чтобы отфильтровать не в одном и том же OU, но в дочерних OU, вам необходимо изменить запрос следующим образом, чтобы включить все дочерние OU:
Выберите * From RSOP_Session Где НЕ SOM LIKE '% OU = OrgUnit, DC = Домен, DC = com '
В общем случае невозможно переопределить групповую политику, но для брандмауэра Windows есть опция, которая позволит вам это сделать.
В настройках профиля (домен / частный / общедоступный) при объединении правил есть опция «применять локальные правила межсетевого экрана». Он не позволяет изменять развернутые правила, но позволяет применять любые локальные изменения, которые необходимо внести.