配置Windows防火墙以允许域配置文件中特定用户组的WMI通信

我们需要配置安全的防火墙访问，因此只有一个特定的用户组（域管理员）可以远程访问域中每台计算机上的WMI（Windows管理规范）

即使很容易添加防火墙例外以允许WMI入站连接，如下所示：

我们无法进行配置，因此这些规则仅适用于域管理员。像这样：

一旦以这种方式配置了入站规则，即使传入连接是由Domain Admin成员发起的，也不会通过防火墙：

这是到目前为止我们尝试和学习的内容：

• 配置的防火墙规则以允许未经身份验证的连接。它可以解决问题，但会使配置的安全性降低

• 我们尝试公开端口RPC端口（范围为45000-60000）。并且它解决了问题（因此我们知道问题与RPC端口有关，并且端口135已正确暴露给经过身份验证的用户，但RPC端口却没有）。显然，出于安全考虑，我们无法保留此类内容

• 我们试图启用“允许入站远程管理例外”。这解决了问题，但事实证明，它基本上只是删除了与仅将连接限制为“域管理员”有关的防火墙配置。

• 我们还收集了防火墙日志，从中很明显，防火墙允许端口135的传入连接但对动态RPC端口的阻止