web-dev-qa-db-ja.com

デフォルトのドメインポリシーから追加のレジストリ設定を削除するにはどうすればよいですか?

何らかの理由で、クライアントのADドメインでWindowsファイアウォールが無効になりました。 RSoPレポートは、設定がデフォルトドメインポリシー追加レジストリ設定から発信されていることを示しています。

RSoP Extra Registry Settings

これが他のGPO削除した可能性がありますが、デフォルトのドメインポリシーです。ドメインコントローラーには、そのようなADMはありません。これらのレジストリキーを制御する/ ADMXテンプレートが設定されているため、グループポリシー管理エディターを使用して編集することはできません(おそらく、ある時点で、リモートサーバー管理ツールがインストールされている外部コンピューターに管理者がいました)。

これらの設定を削除する正しい方法は何でしょうか? 正しいADM(X)テンプレートを見つけてインストールする必要がありますか、それともショートカットはありますか?(実際に必要なすべての設定はNetwork\Network Connections\Windows Firewall\すでにですが、これにより、パブリックネットワークとホームネットワークでWindowsファイアウォールが無効になります。)

1
Esa Jokinen

Windowsファイアウォールの設定に関するこの問題について...

Windows設定で行われた設定がADM(X)テンプレートをいじっていたことが判明しました。

Computer Configuration
  |+ Policies 
     |+ Windows Settings 
        |+ Security Settings
           |+ Windows Firewall with Advanced Security - LDAP://...

ここでは、プライベートおよびパブリックプロファイルWindowsファイアウォールプロパティ未構成は、追加のレジストリ設定からSoftware\Policies\Microsoft\WindowsFirewall\PolicyVersion以外のすべてを削除しました。 (もちろん、ここからも自由に設定できます。)

Windows Firewall with Advanced Security - LDAP://...

これは、Windows Vista、Windows 7、およびWindows10を介してすべての管理用テンプレートのwindowsfirewall.admxを確認したので良いことです。 PrivateおよびPublicプロファイルの設定はありませんでした:Domain Profileおよび標準プロファイル。この解決策が見つからなかった場合は、以下で説明する方法を使用する必要があります。


一般に、デフォルトのドメインポリシーから追加のレジストリ設定を削除する

これを解決する最も簡単な方法は、関係するGPOを削除して再作成必要な設定のみを使用することです。デフォルトドメインポリシーの場合これにはいくつかの追加手順が必要です:

  1. すべてのデフォルトドメインポリシーGPO設定)のレポートを印刷/保存します。
  2. Dcgpofix (DCではなくドメインのみ)を使用して、既定のグループポリシーオブジェクトを再作成します。

    DCGPOFix /ignoreschema /target:Domain
    
  3. ポリシーを手動で編集して、レポートにすべての設定を含めます。

もう1つの方法は、新しい管理用テンプレートを手動で作成するこれらのレジストリキーの設定を含むことです。 .admxファイルはXMLであり、テキストエディタで簡単に編集できます。

この場合、Windowsファイアウォールの場合、windowsfirewall.admxを編集することが可能でした。

  1. 2つの新しいカテゴリを作成します。 (.admlsの変更を避けるために、displayNamesをハードコーディングしました。)

    enter image description here

  2. WF_Profile_Standardのすべての(または必要な)子policyオブジェクトをコピーします。

  3. 必要に応じて内容を置き換えます:StandardPublic/Privateに置き換えます:

    • <parentCategory ref="WF_Profile_Public" />
    • key="SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\...
    • displayNames、explainTexts、またはpresentationsは、既存の両方のカテゴリですでに同じであるため、置き換える必要はありません。

この新しいテンプレートは、一時的にのみ使用し、リモートサーバー管理ツールがインストールされているクライアントコンピューターから使用することをお勧めします。代わりに、DCで直接使用します。このように、それはあなたがそれで解決しようとしている問題そのものを引き起こさないでしょう!

2
Esa Jokinen

これらの設定を削除する正しい方法は何でしょうか?

そこまたはこのドメイン内の別のマシンに正しいADM(X)テンプレートをインストールするか、使用してください。スクリーンショットが示すように、これはWindows(Server)2008であり、グループポリシー設定などのレジストリ設定を編集できません。

1
bjoster