Windows 7 повторно включает брандмауэр Windows после удаления из домена?

Question

Для наших политик домена по умолчанию настроены следующие объекты групповой политики:

• Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Брандмауэр Windows в режиме повышенной безопасности \ Параметры профиля домена
  • Состояние брандмауэра - выкл.
• Конфигурация компьютера \ Политики \ Административные шаблоны \ Сеть \ Сетевые подключения \ Брандмауэр Windows \ Профиль домена
  • Брандмауэр Windows: защита всех сетевых подключений - отключено
• Конфигурация компьютера \ Политики \ Административные шаблоны \ Сеть \ Сетевые подключения \ Брандмауэр Windows \ Стандартный профиль
  • Брандмауэр Windows: защита всех сетевых подключений - отключено

Недавно у нас были некоторые странные икоты, которые требовали, чтобы несколько машин были удалены из домена и были восстановлены. Однако после удаления и завершения первой перезагрузки брандмауэр Windows снова включается и блокирует наши попытки удаленного подключения, чтобы присоединиться к нему.

Хотя я не знал, что это было проблемой для нас в прошлом, это поведение по умолчанию, когда машина удаляется из домена?

Answer 1

Брандмауэр Windows Advanced Firewall имеет три профиля: Доменный, Общий и Частный / Домашний. Каждый профиль имеет свои настройки. Когда вы покидаете домен, профиль домена отключается, а личный профиль активируется. Необходимо убедиться, что частный профиль не активируется с помощью команды netsh advfirewall .

Для получения дополнительной информации: http://technet.microsoft.com/en-us/library/getting-started-wfas-firewall-profiles-ipsec(v=ws.10).aspx

Answer 2

По умолчанию брандмауэр Windows включен. Если у вас есть политика для отключения брандмауэра, установленная объектами групповой политики, нет способа гарантировать, что политика, которую вы хотите или не хотите, будет установлена после ее удаления из домена. Присоединение к домену всегда должно сопровождаться ручными обновлениями GP с использованием следующего из командной строки.

GPUpdate /force

Это гарантирует, что система полностью обновляет политику. Единственный способ действительно предотвратить это - также отключить его на уровне локальной политики.