al3x 11 Geschrieben 23. November 2018 Melden Geschrieben 23. November 2018 Hallo Gemeinde, ich weiß ein altes Thema, aber folgendes Szenario, der RDP-Zugriff soll per GPO erlaubt werden, aber ich kann den Fehler nicht finden. Die GPO einer Test OU beinhaltet: 1. das Starten des Remotedesktopdienstes -> Win-Einstellungen / Sicherheitseinstellungen / Systemdienste / Remotedesktopdienste = starten 2. die Firewallausnahme eingehend für RDP -> Win-Einstellungen / Sicherheitseinstellungen / Win FW erweiterte Sicherheit / eingehend = vordefinierte Regel "Remotedesktop" für Domäne und Privat In dieser OU sind insgesamt 5 GPOs angelegt und in 3 davon sind Änderungen der Firewall definiert. Bei den 3en gilt jeweils "lokale FW-Regeln anwenden = nein" in den globalen Einstellungen, bei den restlichen 2 GPOs steht der Wert auf "nicht konfiguriert". Es gibt 2 aktivierte RDP Einträge in der lok.FW: Remotedesktop [Domäne] GPO=ja Remotedesktop [Domäne] GPO=nein Die Regeln der 3 GPOs überschneiden sich nicht. So gesehen wäre die Reihenfolge der Anwendung ja auch egal und alle Regeln sollten sich addieren - heißt, die lok. Regeln greifen nicht und die 3 definierten sind aktiv. Dennoch werden die "GPO-Regeln" ignoriert. Setze ich bei allen 3 GPOs den Wert "lokale FW-Regeln anwenden = nicht konfiguriert", dann funktioniert es, sobald die lokalen Einstellungen gesetzt sind - ist ja auch verständlich. Aber warum greift es nicht, wenn nur die GPO-Regeln zugelassen sind? Wo hab ich meinen Denkfehler? Hab ich was vergessen?
NorbertFe 2.277 Geschrieben 23. November 2018 Melden Geschrieben 23. November 2018 Interessant wäre jetzt: mit welchem os würde das gpo und die darin befindlichen Firewallrules erzeugt? auf welches os sollen die Firewallrules wirken? bye norbert
al3x 11 Geschrieben 23. November 2018 Autor Melden Geschrieben 23. November 2018 erzeugt unter Win10, wirken soll es auf Win7 und Win10 Clients
NorbertFe 2.277 Geschrieben 23. November 2018 Melden Geschrieben 23. November 2018 Es funktioniert bei keinem der beiden OS? Oder nur bei Windows 7 nicht?
al3x 11 Geschrieben 23. November 2018 Autor Melden Geschrieben 23. November 2018 Hallo Norbert, hm soweit ich es bis jetzt beurteilen kann, scheint es tatsächlich nur die Win7er zu betreffen. Ein Win10 LTSB tut auf den ersten Blick schonmal was er soll..
NorbertFe 2.277 Geschrieben 23. November 2018 Melden Geschrieben 23. November 2018 Und was schlußfolgerst du daraus? ;) Vorschlag: Du baust zwei GPOs und filterst per WMI auf das OS. Dann definierst du im GPO für WIndows 7 die Firewallregeln mit einem GPMC von Windows 7 aus und für WIndows 10 von Windows 10 aus. Ja das ist lästig, aber im Endeffekt kannst du das so am saubersten realisieren. Alternativ manuell einfach port 3389 statisch öffnen geht immer, ist aber nicht so "sauber". Bye Norbert
al3x 11 Geschrieben 23. November 2018 Autor Melden Geschrieben 23. November 2018 Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt. Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.
testperson 1.857 Geschrieben 23. November 2018 Melden Geschrieben 23. November 2018 vor 39 Minuten schrieb al3x: Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss. Andere Alternative: Schmeiß die Win7 raus und geh komplett auf Win10. ;)
NorbertFe 2.277 Geschrieben 23. November 2018 Melden Geschrieben 23. November 2018 vor 3 Stunden schrieb al3x: Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt. Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss. Wieviele davon hast du denn? :o Abgesehen davon, Firewallregeln immer in eigenen GPOs führen und nicht mit ADMs und GPP usw. mischen
daabm 1.428 Geschrieben 23. November 2018 Melden Geschrieben 23. November 2018 Dritte Alternative: Machs mit Win7, das klappt auch für Win10. Die FW-Regeln enthalten eine Versionsnummer...
al3x 11 Geschrieben 26. November 2018 Autor Melden Geschrieben 26. November 2018 Hallo. Habe es mit W7 jetzt neugebaut und scheint bisher gut zu funktionieren. Was empfiehlt ihr bei den globalen Einstellungen unter [Domänenprofil]-[Status] ? Ich würde für logisch halten: Firewallstatus = Ein eingehende Verbindungen = Blockieren (es sollten ja dann die Ausnahmen greifen, die man definiert hat) ausgehende Verbindungen = nicht konfiguriert oder Zulassen
NorbertFe 2.277 Geschrieben 26. November 2018 Melden Geschrieben 26. November 2018 (bearbeitet) Ich empfieh ^h^h^hele deine Einstellungen. Also Firewall an, plus deine Regeln und ausgehend nicht konfiguriert. Wenn es natürlich Anforderungen gibt, kann man auch über andere Konfigurationen reden. :) bearbeitet 26. November 2018 von NorbertFe
al3x 11 Geschrieben 26. November 2018 Autor Melden Geschrieben 26. November 2018 Norbert, ist es sinnvoll die globalen settings bei jeder einzelnen FW-GPO zu setzen oder reicht es aus, dies nur in der letzten (sprich bei Verknüpfungsreihenfolge = n, bei 1..n GPOs) zu tun?
NorbertFe 2.277 Geschrieben 26. November 2018 Melden Geschrieben 26. November 2018 Das reicht bei einer aus soweit ich mich erinnere. Teste es aber sicherheitshalber nochmal.
al3x 11 Geschrieben 27. November 2018 Autor Melden Geschrieben 27. November 2018 FYI Ich muss die Aussage revidieren, über W7 erstellte GPOs funktionieren nur teilweise unter W10. Im Fall RDP musste ich wie von Norbert vorgeschlagen eine zweite unter W10 erstellte GPO anlegen und per WMI filtern, damit RDP funktioniert. Die unter W7 erstellte Policy, obwohl die FW-Ausnahmen auf dem W10-Client ersichtlich sind (also passiert ja was), funktionieren nicht.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden