Win 2008 Firewall per GPOs von Win 2003 verwalten

[Qui-GonJinn 10]

Ich habe soeben meinen ersten Windows Server 2008 als Memberserver in eine reine 2003-Domäne aufgenommen. Leider zieht der Server nicht alle Gruppenrichtlinien. Das hat meiner Meinung nach etwas mit der neuen Firewall von Server 2008 zu tun. Bei allen anderen 2003-Servern haben wir einfach den Firewall-Dienst per GPOs beendet (hust hust). Ich würde trotz Sicherheitslücke gerne einfach die Firwall bei Windows Server 2008 so konfigurieren, dass sie alles durchlässt. Deaktvieren geht ja beim Server 2008 anscheinend nicht, da er dann in eine Art "Inselbetrieb" geht - Ich lasse mich aber auch gern belehren... Ich möchte aber nicht an jedem Server2008 per Hand diese Einstellung machen müssen, sondern würde es gerne auch per GPO von einem Windows Server 2003 machen.

 

Hat jemand sowas schon umgesetzt? Habe schon diverse Artikel auf gruppenrichtlinien.de und die Anleitung von Yusufs Directory Blog gelesen. Das hilft mir aber alles nicht weiter.

Vielen Dank im Vorraus.

[NilsK 2.795]

Moin,

 

es ist höchst unwahrscheinlich, dass die Firewall an einer unvollständigen GPO-Abarbeitung Schuld sein sollte. Was veranlasst dich überhaupt zu dieser Vermutung?

 

Gruß, Nils

[Qui-GonJinn 10]

Das die Firewall nicht deaktviert ist und ich kein Gruppenrichtlinineergebnis von dem Server erstellen kann obwohl WMI läuft.

[NorbertFe 1.834]

Die Firewall kann aber nicht Schuld sein, es sei denn du hast sie "verkonfiguriert". Und das ginge maximal lokal oder von Vista/W2k8 GPMC aus. ;)

Abgesehen davon muß man auch nicht den Firewallservice deaktivieren, damit die Firewall inaktiv ist. Was spricht eigentlich dagegen, die GPOs von W2k8 aus zu administrieren?

 

Bye

Norbert

[Qui-GonJinn 10]

Vielen Dank schon mal. Ehm also Firewall ist nicht schuld. Es spricht dagegen, dass ich in Zukunft mehr als einen Win2008 Server haben werde und ich diese aber vorerst nur in die Win2003-Domäne einbringen kann ohne das einer der 2008-Server DC ist. Kann ich also die Firewall vom Win2008-Server nur von einem anderen Win2008-Server zentral administrieren oder geht das auch vom Win2003-Server.

[NorbertFe 1.834]

Wozu braucht man einen 2008er DC?

 

Bye

Norbert

[Qui-GonJinn 10]

Hö? was sollen jetzt die antwort?

[NorbertFe 1.834]

Ich wollte wissen, warum du meinst, dass die GPO Adminstration mittels W2k8 einen W2k8 DC erfordert. So liest sich dein Posting da oben nämlich:

in Zukunft mehr als einen Win2008 Server haben werde und ich diese aber vorerst nur in die Win2003-Domäne einbringen kann ohne das einer der 2008-Server DC ist

 

Bye

Norbert

[NilsK 2.795]

moin,

 

was Norbert (vermutlich) sagen will: Um Gruppenrichtlinien von einem 2008-Server aus zu verwalten, brauchst du keinen 2008er-DC.

 

Allgemein sollte man Gruppenrichtlinien immer von einer Maschine auf dem höchsten Betriebssystemlevel aus verwalten. Das hat mit dem Modus des AD oder mit dem OS der DCs nichts zu tun.

 

Gruß, Nils

[NorbertFe 1.834]

moin,

 

was Norbert (vermutlich) sagen will: Um Gruppenrichtlinien von einem 2008-Server aus zu verwalten, brauchst du keinen 2008er-DC.

 

Du kennst mich scheinbar. :cool:

 

Bye

Norbert

[Bloodie 10]

Moin,

 

ich glaube dein Problem ist , das die alten Win2003 GPOs für Firewall deaktivierung nicht am 2008er greifen oder?

 

Falls ja , liegt es meiner Meinung daran, das für den 2008 und ich glaube auch für Vista(und somit wohl auch für Windows7) diese Punkte an anderen Stellen in den GPOs sind. Bei Windows 2003 und XP wurde das ja unter Computer/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows Firewall gemacht oder halt über die Dienste deaktiviert. Für Windows 2008 und Vista gibt es - wenn du die GPO in dem neuen Editor öffnest - unter Windowseinstellungen/Windows Firewall mit erweiterter Sicherheit und dort kannst du dann auch explizit die Regeln definieren.

 

Um das zu administrieren musst du halt irgendwo die neue MMC starten , aber die GPOs kannst du von da alle Zentral administrieren und ändern. Nur sieht man halt in der alten MMC und den Editor nicht die Punkte für die neuen OS.

[NorbertFe 1.834]

Du liegst nicht ganz richtig mit deiner Meinung. Die XP Methode funktioniert auch bei W2k8 noch. Nur gibt es eben eine neue CSE seit Vista, die dir dazwischen funken kann. Deswegen wäre es das einfachste, einfach mal eine GPMC auf einem Vista oder W2k8 Server zu starten und es von dort für W2k8 zu definieren.

 

Bye

Norbert

[Bloodie 10]

Nur mal intressenhalber in dem Zusammenhang: kann man eigentlich bei WinXP oder 2003 durch ein Update oder sowas in der Art die MMC mit dem GPO Editor dazubringen , das man diese Einstellungen auch auf einem XP/2003 System sieht?

 

Sonst hätte man ja keine Möglichkeit z.B. Vista Clients über die GPO wie hier mit der FW in allen Funktionen in einer 2003 Domäne zu verwalten, ausser über ein Vista z.B. selbst. Wäre bei uns z.B. so gewesen , wenn wir die DCs nicht auf 2008 gemacht hätten und die neuen Notebooks teilweise nur mit Vista bekommen haben.

[NilsK 2.795]

Moin,

 

Nur mal intressenhalber in dem Zusammenhang: kann man eigentlich bei WinXP oder 2003 durch ein Update oder sowas in der Art die MMC mit dem GPO Editor dazubringen , das man diese Einstellungen auch auf einem XP/2003 System sieht?

 

nein.

 

Sonst hätte man ja keine Möglichkeit z.B. Vista Clients über die GPO wie hier mit der FW in allen Funktionen in einer 2003 Domäne zu verwalten, ausser über ein Vista z.B. selbst.

 

Richtig, so ist das auch. Wie ich oben schon schrub:

 

Allgemein sollte man Gruppenrichtlinien immer von einer Maschine auf dem höchsten Betriebssystemlevel aus verwalten.

 

Mach es einfach. In Wirklichkeit sind sowohl Vista als auch 7 nämlich viel geiler als XP.

 

Gruß, Nils

[Bloodie 10]

 

 

Mach es einfach. In Wirklichkeit sind sowohl Vista als auch 7 nämlich viel geiler als XP.

 

Gruß, Nils

 

Na , damit haben wir das Wort zum Sonntag ja schon am Mittwoch abgehakt :D