BACKGROUND / RICERCA
Sinceramente credo che domande come questa: usare l'oggetto Criteri di gruppo nel dominio Active Directory per forzare le workstation Windows Firewall a disabilitarsi - come? esisteva perché gli amministratori di Windows in generale avevano imparato molto tempo fa che:
"la cosa più semplice da fare quando si ha a che fare con un computer di dominio è avere un oggetto Criteri di gruppo sul dominio per disabilitare Windows Firewall ... alla fine ti causerà molto meno mal di cuore." - istruttori / mentori informatici casuali degli anni passati
Posso anche dire che presso la maggior parte delle aziende ho svolto un lavoro secondario per questo, in cui un oggetto Criteri di gruppo ha disabilitato almeno Windows Firewall per il profilo del dominio e in WORST lo ha disabilitato anche per il profilo pubblico.
Inoltre, alcuni lo disabiliteranno per i server stessi: disabilita il firewall per tutti i profili di rete su Windows Server 2008 R2 tramite GPO
Un articolo di Microsoft Technet su WINDOWS FIREWALL consiglia di NON disabilitare Windows Firewall:
Poiché Windows Firewall con sicurezza avanzata svolge un ruolo importante nell'aiutare a proteggere il computer dalle minacce alla sicurezza, si consiglia di non disabilitarlo a meno che non si installi un altro firewall da un fornitore affidabile che fornisca un livello equivalente di protezione.
Questa domanda ServerFault pone la vera domanda: va bene disattivare il firewall in una LAN usando Criteri di gruppo? - e gli esperti qui sono persino confusi nella loro visione.
E capire che non mi riferisco alla disabilitazione / abilitazione del SERVIZIO: come posso eseguire il backup del mio consiglio per NON disabilitare il servizio Windows Firewall? - per essere chiari sul fatto che il servizio firewall abiliti o meno il firewall o meno.
LA DOMANDA A MANO
Quindi torno al titolo di questa domanda ... cosa si può fare per riattivare correttamente il firewall di Windows su un dominio? In particolare per le workstation client e il loro profilo di dominio.
Prima di passare semplicemente dall'oggetto Criteri di gruppo da Disabilitato a Abilitato, quali misure di pianificazione dovrebbero essere prese per garantire che il lancio dello switch non provochi improvvisamente le applicazioni critiche client / server, traffico consentito, ecc.? La maggior parte dei luoghi non tollererà la mentalità "cambiarlo e vedere chi chiama l'helpdesk" qui.
Esistono liste di controllo / utilità / procedure disponibili da Microsoft per gestire una situazione del genere? Sei stato tu stesso in questa situazione e come hai affrontato?
windows server by default disables the firewall
Questo non è vero . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain
inoltre, non è vero: hai esaminato gli oggetti Criteri di gruppo disponibili per gestirli negli ultimi 6 anni? Non è più il 2003 the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work
Quando si installa Servizi di dominio