将Windows网络配置文件从“ DomainAuthenticated”更改为Public

我有一个加入Windows Server 2012 R2的域，该域上安装了OpenVPN 2.3.13客户端软件。当VPN连接处于活动状态时，NLA将“以太网2”（TAP接口）连接与主LAN NIC一起放在“域网络”类别中。理想情况下，我希望能够将VPN接口分配给“公共”类别。我已经通过PowerShell尝试过，但是不断出现此错误：

由于下列可能的原因之一，无法设置NetworkCategory。NetworkCategory不能从“ DomainAuthenticated”更改；由于组策略设置“网络列表管理器策略”，阻止了用户对NetworkCategory发起的更改。在第1行：char：1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + + CategoryInfo：PermissionDenied：（MSFT_NetConnect ... 72AADA665483}“）： root / StandardCi ... nnectionProfile）[Set-NetConnectionProfile]，CimException + FullyQualifiedErrorId：MI RESULT 2，Set-NetConnectionProfile

15是“以太网2”的接口号

值得注意的是，我在提升的PowerShell会话中运行此命令，并尝试了所有可用的GPO策略，但始终抛出该错误。关于NLA的大多数信息都建议在“私有”和“公共”之间切换应该可以，但是DomainAuthenicated似乎有些不同。

该注册表方法没有用于以太网2的实际配置文件，因此也不能以这种方式进行更改。

反正有强制TAP适配器公开的吗？OpenVPN连接本身不会覆盖主NIC的默认网关，而是使用10.0.0.0/8子网。我使用route-nopull和覆盖路由的事实可能是NLA检测网络问题的一部分。

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

需要分配公共配置文件的主要原因是防火墙规则，我无法阻止某些应用程序仅使用VPN接口，在这种情况下，能够编写基于网络配置文件的防火墙规则似乎效果最好，根据本地IP地址编写规则，但这无效。

— 詹姆斯·怀特
source

user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies

-这似乎意味着通过组策略阻止了用户发起的更改。为了允许用户启动更改，则需要将GPO配置为允许该更改。您是否已在其中配置了域GP？

— joeqwerty

@joeqwerty我已经在本地通过计算机配置/ Windows设置/安全设置/网络列表管理器策略中的域来查看GPO，没有设置允许更改。

— 詹姆斯·怀特

听起来您的高级帐户缺少更改NetworkCategory的权利。您可能需要添加它，或取消/释放对此的限制。 technet.microsoft.com/zh-CN/library/jj966256(v=ws.11).aspx。但是听起来您只能为“身份不明”的网络设置用户权限对象。

— Xalorous

另外，

When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.

这不是VPN的全部内容吗？如果要提高VPN用户的安全性，请在DomainAuthenticated类别中将其设置更高，甚至在中将其设置更高Public。

— Xalorous

我尝试修改该GPO，无论是在本地还是通过域策略，该GPO都不允许更改，并且运行gpupdate /force无论我更改了什么设置都无法解决该错误。

— James White

Answers:

下面将使用WMI / CIM。

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

— 蒂姆·海因茨
source

抱歉，出现相同的错误。如果尝试将其设置为DomainAuthenticated，则会出现此错误。

— 蒂姆·海因茨

Set-CimInstance：无法将NetworkCategory设置为“ DomainAuthenticated”。验证到域网络后，将自动设置此NetworkCategory类型。在第1行：char：124 + ... lias ='Ethernet 2'“ | Set-CimInstance -Property @ {NetworkCategory ='2'} + ~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + + CategoryInfo：InvalidArgument：（MSFT_NetConnect ... 5A09504828DA}“）：CimInstance）[设置-C imInstance]，CimException + FullyQualifiedErrorId：MI结果4，Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand

— Tim Haintz

不幸的是，由于我像以前一样以PowerShell Admin的身份运行，因此在阻止更改的域策略方面仍然遇到相同的错误。在这种情况下，我试图将以太网2从设置为DomainAuthenicated移开，但是在我的情况下，这似乎是强制性的，无法更改。

— 詹姆斯·怀特

正如您提到的@Pandorica，似乎一旦加入域，NetworkCategory便会锁定到DomainAuthenticated。

— Tim Haintz '16

我在搜索中也看到了该文章。但是，在大多数情况下，这似乎与我要实现的目标相反，从而不是切换到DomainAuthenicated。我可能只需要接受它可能是不可能的。

— 詹姆斯·怀特

从DNS服务器的侦听地址列表中删除“公共”适配器的地址即可达到目的。

— 爱德·舒尔
source

查看此页面上的第三个选项“使用防火墙”：https : //evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

您可以通过使用Windows防火墙创建出站规则来阻止Windows服务“网络位置识别”来阻止DomainAuthenticated网络配置文件。确保在规则中指定VPN适配器的本地IP，以免影响其他适配器。VPN适配器现在应分类为“公共”网络配置文件。

— 474
source