Bloqueio de arquivo e compartilhamento de impressora no controlador de domínio do Windows

Eu tenho um controlador de domínio do Windows 2012 R2 que não precisa de portas de compartilhamento de Filtro e Impressora abertas, portanto, na tentativa de proteger o servidor, tentei desabilitar as regras do grupo "Compartilhamento de arquivos e impressoras".

No entanto, toda vez que eu reinicializo, as regras continuam sendo ativadas. Eu tentei removê-lo em todos os lugares, incluindo as configurações de "Permitir recursos" do Firewall do Windows nas configurações de conexão da NIC. Mas continua sendo ativado quando eu reinicio.

Antes de escrever um script para desabilitar as regras e adicioná-lo às tarefas agendadas, como faço para que as regras desativadas permaneçam desativadas?

Obrigado.

Atualização: Desculpe, eu deveria ter sido mais claro. Eu só estou usando este servidor para executar o Exchange, nenhum outro cliente estará se conectando ao controlador de domínio para autenticação. Eu percebo que não é uma configuração recomendada (executá-lo no controlador de domínio), mas é apenas para alguns usuários. Está sentado de frente para a internet e eu gostaria de permitir apenas as portas 25 e 443 (para owa e rpc sobre http).