SBS2003 + Firewall per GPO

[BiZNIZ]

Moin ...
... wollte in unserem neuen SBS2003-LAN diverse Firewalleinstellung per GPO Domänenprofil verteilen, so, wie wir es auch beim Standard-2003 machen ...

Aber die Einstellungen werden nicht übernommen ...
Habe hierzu in der entsprechenden OU unter MyBusiness eine neue Richtlinie erstellt und alle Einträge vorgenommen ...

Anschließend ein GPUPDATE /FORCE und bin dann an den PC zum Testen.
Ergebnis: Keine Änderung ...
Die für den Virenscanner eingetragenen Ports sind nicht da ...
Ebenso ist noch immer die Datei- und Druckfreigabe deaktiv, die der Virenscanner erwartet.

Habe es dann in der "mitgelieferten" GPO hinzugefügt ...
Gleiches Ergebnis ...

Hier mal ein Auszug von GPRESULT auf dem Client:

Code:

Betriebssystemtyp:                     Microsoft Windows XP Professional
Betriebssystemkonfiguration:            Mitglied der Dom„ne/Arbeitsgruppe
Betriebssystemversion:                  5.1.2600
Dom„nenname:                 ARTCOMPANY
Dom„nentyp:                 Windows 2000

COMPUTEREINSTELLUNGEN
----------------------
    CN=ARTCOMP00,OU=SBSComputers,OU=Computers,OU=MyBusiness,DC=artcompany,DC=local

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Lokale Admins
        Firewall anpassen
        Small Business Server-Remoteunterst�tzungsrichtlinie
        Small Business Server-Windows-Firewall
        Small Business Server-Clientcomputer
        Small Business Server-Kontosperrungsrichtlinie
        Small Business Server-Dom„nenkennwortrichtlinie
        Default Domain Policy

    Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
    ----------------------------------------------------------------------------------------
        Small Business Server-Internetverbindungsfirewall
            Filterung:  Verweigert (WMI-Filter)
            WMI-Filter: PreSP2

    Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
    -----------------------------------------------------------
        Administratoren
        Jeder
        Benutzer
        NETZWERK
        Authentifizierte Benutzer
        ARTCOMP00$
        Dom„nencomputer
  

BENUTZEREINSTELLUNGEN
----------------------

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Default Domain Policy

    Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
    ----------------------------------------------------------------------------------------
        Small Business Server-Remoteunterst�tzungsrichtlinie
            Filterung:  Deaktiviert (Gruppenrichtlinienobjekt)

        Small Business Server-Dom„nenkennwortrichtlinie
            Filterung:  Nicht angewendet (Leer)

        Small Business Server-Clientcomputer
            Filterung:  Nicht angewendet (Leer)

        Small Business Server-Internetverbindungsfirewall
            Filterung:  Verweigert (WMI-Filter)
            WMI-Filter: PreSP2

        Small Business Server-Kontosperrungsrichtlinie
            Filterung:  Deaktiviert (Gruppenrichtlinienobjekt)

        Richtlinien der lokalen Gruppe
            Filterung:  Nicht angewendet (Leer)

        Small Business Server-Windows-Firewall
            Filterung:  Nicht angewendet (Leer)

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
    -----------------------------------------------------------
        Dom„nen-Benutzer
        Jeder
        Benutzer
        INTERAKTIV
        Authentifizierte Benutzer
        LOKAL
        SBS Mail Operators
        Domain Power Users
        SBS Folder Operators
        Web Workplace Users
        SBS Fax Operators
        SBS SP Admins
        SBS Mobile Users
        SBS Remote Operators
        IIS_WPG
        STS_WPG

Sehe dort nur, dass alles angewandt wurde ...
Aber auf dem Client ist nichts zu sehen ...
Irgendwo was übersehen?

[IThome]

Hm, eventuell denkt der Rechner, dass er ausserhalb der Domäne ist. Er entscheidet, ob das Domänen- oder Standardprofil angewendet wird, entweder anhand des Verbindungssuffixes (wenn vorhanden) oder der IP-Adressierung. Bekommt er einen Verbindungssuffix per DHCP zugewiesen und erreicht er mit diesem Suffix den DC und wendet Richtlinien an, dann wendet der Client immer das Domänenprofil an, solange das bei Erstanwendung der Richtlinie aktive Suffix konfiguriert ist. Sobald sich das Suffix ändert oder er keins bekommt (wenn man ihn z.B. zu Hause anschliesst und der DHCP des Routers keinen Suffix verteilt), wendet er das Standardprofil an. Wird kein Suffix per DHCP verteilt oder händisch konfiguriert, wird anhand des IP-Bereiches entschieden, was Domänenprofil und Standardprofil ist. Hat der Client bei der Anwendung der Richtlinie z.B. die Adresse aus dem Bereich 192.168.100.0/24, gilt dieser Bereich als domänenzugehörig. Bei jedem anderen Bereich wird das Standardprofil angewendet (technisch gesehen wird bei Erstanwendung der Richtlinie ein Regkey gesetzt, der überprüft wird) .

[BiZNIZ]

... aber dennoch danke für die ausführliche Erklärung ...

Das Problem lag dann aber doch an einer ganz anderen Stelle:
Der Server war noch nicht im 2003'er Modus!

Habe die Domänenstruktur und die Gesamtstruktur heraufgestuft, den Server rebootet und dann die Clients eingeschaltet ...
Und siehe da: Alle Einstellungen wir gewünscht vorhanden ...

Hätte ich eigentlich selber drauf kommen müssen, da wir das ja auch bei den 2003'er Standard Umgebungen so machen mussten ...

Jetzt läuft es jedenfalls ...

Und danke nochmals für die Hilfe

[IThome]

Das läuft nur im höchsten Domänenmodus ? Das wäre mir neu ... Eventuell hat der Serverneustart dieses "Problem" behoben ?!

[BiZNIZ]

Neustarts hatten wir schon einige seit gestern, da wir das ja auch vermutet hatten ...

Aber dennoch klappte es heute nun, nachdem wir den DomainModus auf 2003 heraufgestuft hatten ...

Aber nun gibt es ein neues Phänomen:

Die Einstellungen werden nicht an allen PCs übernommen ... nur bei drei von zehn ...
Bin mittlerweile auch bei einigen als Admin angemeldet gewesen, und habe die PCs mittlerweile auch rebootet ...

Keine Chance ...

Es wollen um's verrecken nur drei der PCs die Einstellungen übernehmen ...
Bei allen anderen sieht's aus wie vorher ...#

Irgendeine Idee, wie ich die PCs "zwingen" kann, die Einstellungen zu übernehmen?

[IThome]

Führe auf diesen Clients mal GPUPDATE /FORCE durch, danach RSOP.MSC. Schau auch in der Ereignisanzeige der Clients, ob es dort USERENV-Fehler oder ähnlich gibt. Haben die Clients XP SP2 installiert ?

[BiZNIZ]

Das war's ...

Ein GPUPDATE /FORCE am client brachte den Erfolg ...

Ein GPUPDATE /target:computer /force am Server auch ... nicht sofort, aber es kam ...

Vielen Dank nochmals für die Hilfe ... würde nun endlich meinen "SOLVED"

[IThome]

Du solltest trotzdem mal die Ereignisanzeigen leeren und einen Client neustarten. Es sieht so aus, als wenn die Clients beim Start Probleme mit der Anwendung von Richtlinien haben. Die Richtlinien sollten auch ohne Anwendung von GPUPDATE angewendet werden, spätestens nach dem zweiten Neustart ...