Jump to content

Empfohlene Beiträge

Hallo Gemeinde,

 

ich weiß ein altes Thema, aber folgendes Szenario, der RDP-Zugriff soll per GPO erlaubt werden, aber ich kann den Fehler nicht finden.

Die GPO einer Test OU beinhaltet:

1. das Starten des Remotedesktopdienstes -> Win-Einstellungen / Sicherheitseinstellungen / Systemdienste / Remotedesktopdienste = starten

2. die Firewallausnahme eingehend für RDP -> Win-Einstellungen / Sicherheitseinstellungen / Win FW erweiterte Sicherheit / eingehend = vordefinierte Regel "Remotedesktop" für Domäne und Privat

 

In dieser OU sind insgesamt 5 GPOs angelegt und in 3 davon sind Änderungen der Firewall definiert. Bei den 3en gilt jeweils "lokale FW-Regeln anwenden = nein" in den globalen Einstellungen, bei den restlichen 2 GPOs steht der Wert auf "nicht konfiguriert".

Es gibt 2 aktivierte RDP Einträge in der lok.FW:

Remotedesktop [Domäne]      GPO=ja

Remotedesktop [Domäne]      GPO=nein

 

Die Regeln der 3 GPOs überschneiden sich nicht. So gesehen wäre die Reihenfolge der Anwendung ja auch egal und alle Regeln sollten sich addieren - heißt, die lok. Regeln greifen nicht und die 3 definierten sind aktiv.

Dennoch werden die "GPO-Regeln" ignoriert.

 

Setze ich bei allen 3 GPOs den Wert "lokale FW-Regeln anwenden = nicht konfiguriert", dann funktioniert es, sobald die lokalen Einstellungen gesetzt sind - ist ja auch verständlich. Aber warum greift es nicht, wenn nur die GPO-Regeln zugelassen sind?

 

Wo hab ich meinen Denkfehler? Hab ich was vergessen?

 

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Interessant wäre jetzt:

mit welchem os würde das gpo und die darin befindlichen Firewallrules erzeugt?

auf welches os sollen die Firewallrules wirken?

 

bye

norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Norbert,

hm soweit ich es bis jetzt beurteilen kann, scheint es tatsächlich nur die Win7er zu betreffen. Ein Win10 LTSB tut auf den ersten Blick schonmal was er soll..

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Und was schlußfolgerst du daraus? ;)

Vorschlag: Du baust zwei GPOs und filterst per WMI auf das OS. Dann definierst du im GPO für WIndows 7 die Firewallregeln mit einem GPMC von Windows 7 aus und für WIndows 10 von Windows 10 aus. Ja das ist lästig, aber im Endeffekt kannst du das so am saubersten realisieren. Alternativ manuell einfach port 3389 statisch öffnen geht immer, ist aber nicht so "sauber".

 

Bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt.

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 39 Minuten schrieb al3x:

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

Andere Alternative: Schmeiß die Win7 raus und geh komplett auf Win10. ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 3 Stunden schrieb al3x:

Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt.

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

Wieviele davon hast du denn? :o

Abgesehen davon, Firewallregeln immer in eigenen GPOs führen und nicht mit ADMs  und GPP usw. mischen

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo.

Habe es mit W7 jetzt neugebaut und scheint bisher gut zu funktionieren.

Was empfiehlt ihr bei den globalen Einstellungen unter [Domänenprofil]-[Status] ?

 

Ich würde für logisch halten:

 

Firewallstatus = Ein

eingehende Verbindungen = Blockieren (es sollten ja dann die Ausnahmen greifen, die man definiert hat)

ausgehende Verbindungen = nicht konfiguriert oder Zulassen

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich empfieh ^h^h^hele deine Einstellungen. Also Firewall an, plus deine Regeln und ausgehend nicht konfiguriert. Wenn es natürlich Anforderungen gibt, kann man auch über andere Konfigurationen reden. :)

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Norbert, ist es sinnvoll die globalen settings bei jeder einzelnen FW-GPO zu setzen oder reicht es aus, dies nur in der letzten (sprich bei Verknüpfungsreihenfolge = n, bei 1..n GPOs) zu tun?

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

FYI
Ich muss die Aussage revidieren, über W7 erstellte GPOs funktionieren nur teilweise unter W10.

Im Fall RDP musste ich wie von Norbert vorgeschlagen eine zweite unter W10 erstellte GPO anlegen und per WMI filtern, damit RDP funktioniert. Die unter W7 erstellte Policy, obwohl die FW-Ausnahmen auf dem W10-Client ersichtlich sind (also passiert ja was), funktionieren nicht.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×