Embora seja depreciado, usei netsh firewall para fazer isso facilmente. No meu caso, tudo o que eu queria fazer era alterar o escopo para incluir uma sub-rede não local de 10.0.0.0/8.
netsh firewall set service type=FILEANDPRINT scope=CUSTOM addresses="LocalSubnet,10.0.0.0/8"
netsh advfirewall não permite a filtragem 'set' por nome de grupo, porque isso facilitaria a vida, você teria que configurar regra por regra uma por uma. Então, método depreciado é, como facilidade de uso, eu acho.