MCCHoschy

Aha - Effekt Teil 2 ist eingetreten :D Nun habe ich als blindes Huhn ;) auch noch ein Korn gefunden. So nun kann ich mich ans Werk machen, und nebenbei mir noch überlegen wie ich eine meine DC's für die Zukunft W2K8 fähig machen kann...aber das ist ein anderes Thema. Danke nochmals. Viele Grüße, MCCHoschy

@NECRON: Danke für die Links. Werde mal drüberfliegen ob die mir hier weiterhelfen. Mir ist gerade aufgefallen wenn ich von dem Win7 Client die MMC aufrufe, Datei - SnapIn hinzufügen, GPobjek hinzufüge. Steht als defaul ja der Client selbst als Zielsystem da. Wenn ich einen DC auswähle und in den Comp. Admin-Vorlagen suche stehen nicht die Werte drin die ich angelegt hatte. Das sind dann die lokalen Richtlinien oder? Also alle Änderungen beziehen sich nur auf dieses System was in der SnapIn bei GP-Objekte ausgewählt wurde, kann das sein? Vielleicht könnt ihr mir hier noch etwas input zur MMC geben in Verbindung mit der GP-Objekte (Richtlinie für XY-Client). Danke.

Der Aha-Effekt ist übergesprungen! Dann darf ich mich jetzt wohl mit der FW-Regelung für Win7 einlesen damit ich auch den richtigen schalter dafür treffe. Kennst du hierfür ein gute Doku o.ä.? Danke für euer Bemühen mir etwas bei zu bringen :wink2:

@ITHome: Na das ist ja mal unschön, dass würde bedeuten ich benötige einen DC auf 2008er Version um abwärtskompatibel die GPO's zu vergeben und eben Win7 usw. ebenfalls mit GPOs zu bestücken?! ;( Kann ich das denn dann nicht über ein Regdatei weitergeben? Die Werte müssten ja eigentlich in der Registry hinterlegt sein diese müsste ich ja nur einmalig anpassen können und export und import spielchen betreiben können, oder?

Langsam aber sicher sehe ich Licht im dunkeln :) @NECRON: Ich will wie bei XPP den RDP-Zugriff freigeben in der Firewall, der Standardport ist glaub ich TCP 3389, dazu sollen Subnetze hinzu gefügt werden. Denn der Defaultwert laut: localsubnet. Da aber unser Domain drei IP-Bereiche "kennt", z.B. 192.168.1.0/24 (primärer Bereich), 192.168.2.0/24 (sekundärer Bereich) und in einer anderen Filiale 172.168.1.0/24. Problem ist nun der zugriff aus der Domain von einem zum anderen Bereich, da die Firewall, wenn aktiv, natürlich primär bei mobilen Arbeitsplätzen sehr zu empfehlen, diese Bereiche nicht zulässt da sie sich nicht in "Ihrem" lokalen Netz liegt. Abhilfe ist hier in der GPO gegeben (wie in meinem ersten Thread beschrieben) hier das localsubnet mit z.B. * = alle Netze, 192.168.1.0/24 = gewünschte Netzwerkbereiche, oder aber nur ClientIPs 192.168.1.1 ein zu binden. @ITHome: Nur eine Verständnisfrage, wenn ich in der MMC wie von dir beschrieben etwas ändere sehe ich das dann auch irgendwie auf meinem DC in der GP-Verwaltung (xy-Policy) ? Irgendwo muss dies doch dann an die anderen DC's weitergegeben werden um eine globale Ausrollung zu gewährleisten. Verstehe die Abhängigkeiten nicht so ganz in Verbindung mit den "neuen" OS.

@ITHome: Gruppenrichtlinienverwaltungskonsole arbeite ich ja auch :D am DC (W2K3) = Das ist ein Beispielscreen... Gut, jetzt habe ich die MMC mit dem Richtlinienobjekt via SnapIn vom DC auf meinem Win7 aufgerufen (wie NECRON meinte). Nur gibt es unter Win7 ein paar mehr Möglichkeiten für die Windows-Firewall mit erweiterter Sicherheit zu konfigurieren. Z.B. Ein und ausgehende Regeln und Verbindungssicherheitsregel, nun suche ich die Funktion für die RDP-Sitzungen um diese a) zu aktivieren und b) weitere Subnetze hinzufügen. Kenne mich leider nicht damit aus mit dem Regelwerk. Wo könnte ich das anpassen? Grüße, MCCHoschy

@NECRON: Jo jetzt seh ich die Einstellung auch über MMC / SnapIn / Richtlinien für lokaler Comp. Danke. Wusste nicht wovon du ausgegangen bist. Wie gesagt ich arbeite immer nur mit der GPO-Mangager am DC. @ITHome: So, bin nun im MMC SnapIn R.f. laklen Computer (Windows7 Enterprise). Von hier aus könnte ich die RDP Zugriffe aus weiteren subnetzen auch hinterlegen, wenn ja wo und wie kann ich diese weiter an andere Clients (Windows 7, Vista u. W2K8) ausrollen? Über das RSAT bin ich auch schon gestoßen, dachte nicht das ich dies auch wirklich benötige. Danke für die Hilfe.

Ok. Ich habe hier mehrere System laufen von XP bis Win7 und W2K3 und W2K8. Ich konfiguriere meine GP eigentlich immer direkt auf dem DC, zumindestens bis W2K3. Diese geänderte Policy hole ich mir dann via GPUpdate /force am jeweiligen Client. Und schon greift die Einstellung die ich am DC i.d. GP hinterlegt hatte. Gut, wenn du meinst das ich die am besten an meinem neuesten Client erstellen sollte, wie sollte ich hier dann am besten vorgehen? Da ich diese ja Domain-Weit verteilen lassen will. Sry, steh gerade etwas auf dem Schlauch ;)

Also, sprichst du jetzt vom AD oder lokalen MMC am jeweiligen Clients? Zur Korrektur: Es handelt sich hier um einen DC W2K3 SP2 in dem ich die Policy hinterlegen/ anpassen wollen würde, wenn dies gehen sollte für WinVista, Win7 und W2K8. Denn in dem GPO-Manager: XY-Policy / Gruppenrichtlinienobjekte-Editor / Comp.konf. / Wind.-Einstellungen finde ich nur folgendes unter Sicherheitseinstellungen: + Kontorichtlinien + Lokale Richtlinien + Ereignisprotokoll + Eingeschränkte Gruppen + Systemdienste + Registrierung + Drahtlosnetzwerkrichtl. + Richtlinien öffentlicher Schlüssel + Richtlinienen für Softwareeinschränkungen + IP Sicherungsrichtlinien auf Active Directory

Hi, danke für die schnelle Antwort. Ich bearbeite meine GPO über GPMC.MSC und hier in der OU-Gruppenrichtlinenobjekte die entsprechende Domain-Policy bearbeiten. @NECRON: Meinst du unter Win.-Einstellungen / Lokale Richtlinien / Sicherheitsoptionen ? Grüße, MCCHoschy

Hi zusammen, ich bin total am Verzweifeln und zwar wegen einer GPO-Anpassung für RDP-Zugriffe für weitere Subnetze für Clients wie Vista und Win7 dazu die W2K8 Generation. Hier hat sich etwas verändert bei der GPO Übergabe der Einstellungen für die lokale Firewallrichtlinie die via globale Domain-Policy übergeben wird. Die Änderung unter Win2000, WinXPP und W2K3 greifen hier ohne Probleme nur ab Win6 aufwärts gilt das wohl nicht mehr für die GP-Übernahme auf den Systemen. Für die älteren OS geht das noch über GP-Editor: Comp.konf / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Win.Firewall / Domainprofil - Win.FW: Remoteausnahme zulassen: Aktiv; hier wurde folgende Ausnahme hinterlegt: localsubnet,* Wie kann ich nun diese Anpassung für Visat, Win7 und W2K8 bereitstellen. Habe dazu auch nur minimale Informationen über einschlägig bekannte Suchmaschienen zurück bekommen. Also bitte keine Anmerkungen wie z.B.: Versuch doch mal zu Google'n, danke habe ich schon :D Hoffe jemand von euch kennt hier Abhilfe! Grüße, MCCHoschy