GPMonitor ermöglich RSoP trotz aktivierter Firewall auf XP-Clients

[dmetzger 10]

Ein überaus nützliches Werkzeug zur Überwachung von Gruppenrichtlinien ist der Group Policy Monitor, kurz GPMonitor, den Microsoft kostenlos im Windows 2003 Resource Kit zur Verfügung stellt. Mit ihm kann der Administrator erkennen, ob Gruppenrichtlinien korrekt repliziert und aktualisiert wurden.

 

Mit dem GPMonitor ist es indes auch möglich, ein Problem in Domänennetzwerken mit aktivierter Windows Firewall auf Clientstationen mit Service Pack 2 zu umgehen. In dieser Konfiguration blockt die Firewall der Clients nämlich Anfragen für Gruppenrichtlinienergebnisse (RSoP) per Group Policy Management Console (GPMC). Man kann zwar entweder die Windows Firewall auf den Clients deaktivieren oder auf allen Rechnern Port 135 öffnen. Doch das schwächt natürlich wieder die Sicherheit im Intranet.

 

An der TechEd in Amsterdam wurde deshalb folgender Tipp gegeben (den ich erfolgreich befolgt habe): Der GPMonitor enthält einen kleinen Agenten für die Clients, die mit dessen Hilfe regelmässig RSoP-Informationen an eine Serverfreigabe senden, sobald die Gruppenrichtlinien im Vorder- oder Hintergrund aufgefrischt werden. Diese Informationen werden im XML-Format erstellt und können mit dem GPMonitor betrachtet werden. Pro Client gibt es dann jeweils eine XML-Datei, die ziemlich ähnlich aussieht wie die XML-Dateien, die der GPMC für Gruppenrichtlinienergebnisse zeigt.

 

Für den GPMonitor gibt es eine ADM-Datei, mit der sich die Optionen dieses Werkzeuges zentral festlegen lassen. Dazu gehört auch, an welche Serverfreigabe die Clients ihre RSoP-Dateien senden sollen.