Jump to content

al3x

Members
  • Gesamte Inhalte

    178
  • Registriert seit

  • Letzter Besuch

Reputation in der Community

10 Neutral

Über al3x

  • Rang
    Junior Member
  1. GPO - Firewallregeln

    Noch ein Nachtrag: Kann mir jemand folgendes Verhalten erklären? Per GPO (s.Bild) wird eine eingehende Regel für die Domäne aktiviert, "lokale FW-Regeln anwenden" steht auf "Nein". Die Regel kommt beim Client auch an, allerdings ist der Bereich Domäne nicht aktiviert!? Funktionieren tut die Regel aber! Gleiche Einstellungen sind zB auch bei Remotedesktop gemacht, aber dort ist "Domäne" beim Client aktiv!
  2. GPO - Firewallregeln

    FYI Ich muss die Aussage revidieren, über W7 erstellte GPOs funktionieren nur teilweise unter W10. Im Fall RDP musste ich wie von Norbert vorgeschlagen eine zweite unter W10 erstellte GPO anlegen und per WMI filtern, damit RDP funktioniert. Die unter W7 erstellte Policy, obwohl die FW-Ausnahmen auf dem W10-Client ersichtlich sind (also passiert ja was), funktionieren nicht.
  3. GPO - Firewallregeln

    Norbert, ist es sinnvoll die globalen settings bei jeder einzelnen FW-GPO zu setzen oder reicht es aus, dies nur in der letzten (sprich bei Verknüpfungsreihenfolge = n, bei 1..n GPOs) zu tun?
  4. GPO - Firewallregeln

    Hallo. Habe es mit W7 jetzt neugebaut und scheint bisher gut zu funktionieren. Was empfiehlt ihr bei den globalen Einstellungen unter [Domänenprofil]-[Status] ? Ich würde für logisch halten: Firewallstatus = Ein eingehende Verbindungen = Blockieren (es sollten ja dann die Ausnahmen greifen, die man definiert hat) ausgehende Verbindungen = nicht konfiguriert oder Zulassen
  5. GPO - Firewallregeln

    Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt. Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.
  6. GPO - Firewallregeln

    Hallo Norbert, hm soweit ich es bis jetzt beurteilen kann, scheint es tatsächlich nur die Win7er zu betreffen. Ein Win10 LTSB tut auf den ersten Blick schonmal was er soll..
  7. GPO - Firewallregeln

    erzeugt unter Win10, wirken soll es auf Win7 und Win10 Clients
  8. GPO - Firewallregeln

    Hallo Gemeinde, ich weiß ein altes Thema, aber folgendes Szenario, der RDP-Zugriff soll per GPO erlaubt werden, aber ich kann den Fehler nicht finden. Die GPO einer Test OU beinhaltet: 1. das Starten des Remotedesktopdienstes -> Win-Einstellungen / Sicherheitseinstellungen / Systemdienste / Remotedesktopdienste = starten 2. die Firewallausnahme eingehend für RDP -> Win-Einstellungen / Sicherheitseinstellungen / Win FW erweiterte Sicherheit / eingehend = vordefinierte Regel "Remotedesktop" für Domäne und Privat In dieser OU sind insgesamt 5 GPOs angelegt und in 3 davon sind Änderungen der Firewall definiert. Bei den 3en gilt jeweils "lokale FW-Regeln anwenden = nein" in den globalen Einstellungen, bei den restlichen 2 GPOs steht der Wert auf "nicht konfiguriert". Es gibt 2 aktivierte RDP Einträge in der lok.FW: Remotedesktop [Domäne] GPO=ja Remotedesktop [Domäne] GPO=nein Die Regeln der 3 GPOs überschneiden sich nicht. So gesehen wäre die Reihenfolge der Anwendung ja auch egal und alle Regeln sollten sich addieren - heißt, die lok. Regeln greifen nicht und die 3 definierten sind aktiv. Dennoch werden die "GPO-Regeln" ignoriert. Setze ich bei allen 3 GPOs den Wert "lokale FW-Regeln anwenden = nicht konfiguriert", dann funktioniert es, sobald die lokalen Einstellungen gesetzt sind - ist ja auch verständlich. Aber warum greift es nicht, wenn nur die GPO-Regeln zugelassen sind? Wo hab ich meinen Denkfehler? Hab ich was vergessen?
  9. Vordefinierte Firewallregeln GPO

    eija es kann aber ja auch vorkommen, dass man sich auf nem Kundenserver aufschalten muss und kein Client zur Verfügung steht.. ansonsten habt ihr natürlich recht ;)
  10. Vordefinierte Firewallregeln GPO

    Doch, wenn man die GPO-Verwaltung auf dem DC nutzt schon! Deinstalliert man das Feature, ist die Regel wieder verschwunden. Macht man es über die Serververwaltungstools von nem Client aus, dann natürlich nicht.
  11. Vordefinierte Firewallregeln GPO

    Hallo Norbert, habs gefunden, auf dem DC war das Feature "Remoteunterstützung" nicht installiert
  12. Vordefinierte Firewallregeln GPO

    Nein, die Anfragen gehen ja auf den Clients ein. btw unter ausgehend ist die Liste noch viel kürzer...
  13. Hallo zusammen, ich wollte in einer 2012R2er Domäne die Remoteunterstützung per GPO mit Hilfe der "Firewall mit erweiterter Sicherheit"aktivieren. Entgegen der Anleitnungen im Netz findet sich hier aber keine vordefinierte Regel für die Remoteunterstützung. Fehlt hier etwa irgendeine aktuellere policy?
  14. WinRM/GPO

    Hallo Leute, ich stehe gerade auf dem Schlauch. In einer Domäne gab es bisher für vereinzelte PC´s (Win7+10) WinRM Zugriff, heißt -WinRM wird bereits ausgeführt -WinRM ist für die RemoteVerwaltung eingerichtet -lokale Firewallausnahme besteht Nun sollte WinRM/WinRS auf allen Domänen-Rechnern (PC´s) aktiviert werden, Vorgegangen wurde lt. WinRM per GPO Diese 3 Einstellungen wurden also gesetzt. Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Remoteverwaltung => WinRM-Dienst == aktiviert Computerkonfiguration => Richtlinien => Windows-Einstellungen =>Sicherheitseinstellungen => Systemdienste == automatischer Start Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Windows-Firewall mit erweiterter Sicherheit => Eingehende Regeln Trotzdem funktioniert der Remotezugriff auf die Clients (nach Reboot) nicht, auch nicht auf die, die vorher funktioniert haben. Winrs error:Der Client kann keine Verbindung mit dem in der Anforderung angegebenen Ziel herstellen. Stellen Sie sicher, dass der Dienst auf dem Ziel ausgeführt wird und die Anforderungen akzeptiert. Lesen Sie die Protokolle und die Dokumentation für den WS-Verwaltungsdienst, der auf dem Ziel ausgeführt wird. Hierbei handelt es sich meistens um IIS oder WinRM. Wenn das Ziel der WinRM-Dienst ist, führen Sie den folgenden Befehl auf dem Ziel aus, um den WinRM-Dienst zu analysieren und zu konfigurieren: "winrm quickconfig". Auf dem Zielrechner: PS C:\Windows\system32> winrm enumerate winrm/config/listener Listener [Source="GPO"] Address = * Transport = HTTP Port = 5985 Hostname Enabled = true URLPrefix = wsman CertificateThumbprint ListeningOn = null PS C:\Windows\system32> get-service winrm Status Name DisplayName ------ ---- ----------- Running winrm Windows-Remoteverwaltung (WS-Verwal... Wurde hier etwas übersehen? Nachtrag: kann es damit zusammenhängen? Folgendes habe ich mal testweise noch aktiviert: Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Remoteverwaltung => WinRM-Dienst =>CredSSP-Auth zulassen Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Remoteverwaltung => WinRM-Client =>CredSSP-Auth zulassen Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Delegierung von Anmeldeinformationen => Delegierung von aktuellen Anmeldeinfos zulassen ==> Serverliste = WSMAN/dc1.domain.loc, WSMAN/dc2.domain.loc winrs aus der cmd funktioniert immer noch nicht, aber eine Remote Powershell-Registerkarte von einem Client auf einen anderen Client (als Domainadmin) funktioniert jedoch.
×