Jump to content
al3x

GPO - Firewallregeln

Recommended Posts

Hallo Gemeinde,

 

ich weiß ein altes Thema, aber folgendes Szenario, der RDP-Zugriff soll per GPO erlaubt werden, aber ich kann den Fehler nicht finden.

Die GPO einer Test OU beinhaltet:

1. das Starten des Remotedesktopdienstes -> Win-Einstellungen / Sicherheitseinstellungen / Systemdienste / Remotedesktopdienste = starten

2. die Firewallausnahme eingehend für RDP -> Win-Einstellungen / Sicherheitseinstellungen / Win FW erweiterte Sicherheit / eingehend = vordefinierte Regel "Remotedesktop" für Domäne und Privat

 

In dieser OU sind insgesamt 5 GPOs angelegt und in 3 davon sind Änderungen der Firewall definiert. Bei den 3en gilt jeweils "lokale FW-Regeln anwenden = nein" in den globalen Einstellungen, bei den restlichen 2 GPOs steht der Wert auf "nicht konfiguriert".

Es gibt 2 aktivierte RDP Einträge in der lok.FW:

Remotedesktop [Domäne]      GPO=ja

Remotedesktop [Domäne]      GPO=nein

 

Die Regeln der 3 GPOs überschneiden sich nicht. So gesehen wäre die Reihenfolge der Anwendung ja auch egal und alle Regeln sollten sich addieren - heißt, die lok. Regeln greifen nicht und die 3 definierten sind aktiv.

Dennoch werden die "GPO-Regeln" ignoriert.

 

Setze ich bei allen 3 GPOs den Wert "lokale FW-Regeln anwenden = nicht konfiguriert", dann funktioniert es, sobald die lokalen Einstellungen gesetzt sind - ist ja auch verständlich. Aber warum greift es nicht, wenn nur die GPO-Regeln zugelassen sind?

 

Wo hab ich meinen Denkfehler? Hab ich was vergessen?

 

 

 

Share this post


Link to post
Share on other sites

Interessant wäre jetzt:

mit welchem os würde das gpo und die darin befindlichen Firewallrules erzeugt?

auf welches os sollen die Firewallrules wirken?

 

bye

norbert

Share this post


Link to post
Share on other sites

Hallo Norbert,

hm soweit ich es bis jetzt beurteilen kann, scheint es tatsächlich nur die Win7er zu betreffen. Ein Win10 LTSB tut auf den ersten Blick schonmal was er soll..

 

 

Share this post


Link to post
Share on other sites

Und was schlußfolgerst du daraus? ;)

Vorschlag: Du baust zwei GPOs und filterst per WMI auf das OS. Dann definierst du im GPO für WIndows 7 die Firewallregeln mit einem GPMC von Windows 7 aus und für WIndows 10 von Windows 10 aus. Ja das ist lästig, aber im Endeffekt kannst du das so am saubersten realisieren. Alternativ manuell einfach port 3389 statisch öffnen geht immer, ist aber nicht so "sauber".

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt.

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

Share this post


Link to post
Share on other sites
vor 39 Minuten schrieb al3x:

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

Andere Alternative: Schmeiß die Win7 raus und geh komplett auf Win10. ;)

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb al3x:

Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt.

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

Wieviele davon hast du denn? :o

Abgesehen davon, Firewallregeln immer in eigenen GPOs führen und nicht mit ADMs  und GPP usw. mischen

Share this post


Link to post
Share on other sites

Hallo.

Habe es mit W7 jetzt neugebaut und scheint bisher gut zu funktionieren.

Was empfiehlt ihr bei den globalen Einstellungen unter [Domänenprofil]-[Status] ?

 

Ich würde für logisch halten:

 

Firewallstatus = Ein

eingehende Verbindungen = Blockieren (es sollten ja dann die Ausnahmen greifen, die man definiert hat)

ausgehende Verbindungen = nicht konfiguriert oder Zulassen

 

Share this post


Link to post
Share on other sites

Ich empfieh ^h^h^hele deine Einstellungen. Also Firewall an, plus deine Regeln und ausgehend nicht konfiguriert. Wenn es natürlich Anforderungen gibt, kann man auch über andere Konfigurationen reden. :)

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Norbert, ist es sinnvoll die globalen settings bei jeder einzelnen FW-GPO zu setzen oder reicht es aus, dies nur in der letzten (sprich bei Verknüpfungsreihenfolge = n, bei 1..n GPOs) zu tun?

 

Share this post


Link to post
Share on other sites

FYI
Ich muss die Aussage revidieren, über W7 erstellte GPOs funktionieren nur teilweise unter W10.

Im Fall RDP musste ich wie von Norbert vorgeschlagen eine zweite unter W10 erstellte GPO anlegen und per WMI filtern, damit RDP funktioniert. Die unter W7 erstellte Policy, obwohl die FW-Ausnahmen auf dem W10-Client ersichtlich sind (also passiert ja was), funktionieren nicht.

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...