问细粒度Windows防火墙规则控制

EN

是否有一种方法使用组策略(或其他内置机制)应用防火墙规则，使规则的子集被锁定，不能更改或重写，但另一个子集可以？例如，我希望锁定核心网络规则和/或文件共享规则，以便本地管理员不能更改它们，但是，它们可以添加规则来打开SQL、IIS等的端口.

我知道，使用组策略，您可以让它不合并规则，但这更像是一种锤子式的方法。我需要一些更细粒度的东西。

这能用内置的工具来完成吗？还是我们需要第三方管理的防火墙应用程序？