W2k3 Firewall auf den Workstations deaktivieren

[rok 12]

Hallo!

Habe im W2k3-Server für die Workstations im AD die Firewall deaktivieren wollen.

Start > Verwaltung > Standard-Domänensicherheitseinstellungen > Sicherheitseinstellungen > Systemdienste > Windows Firewall [...] > deaktiviert

 

Klappt auch, denn die Firewall ist auf den WKS deaktiviert. Leider meckert jetzt das Sicherheitscenter, dass keine Firewall deaktiviert ist.

Wie bekomme ich die Meldung weg?

[vmorbit 10]

also ich weiß nicht ob das von Microsoft offiziell so empfohlen ist,

aber ich dreh den Dienst sicherheitscenter immer ab...der nervt mich nur.

 

das kannst du entweder manuell unter dienste machen...per batch mit dem befehl "net stop wscsvc" bzw. mit sc config den dienst komplett deaktivieren. oder du drehst den dienst einfach per GPO ab.

[rok 12]

Den Dienst gibt es aber nicht im oben genannten Pfad. (Mache das auch auf meinen privaten Geräten, lokal gibt es den Dienst ja...) Würde das schon gern per GPO machen wollen...

[XP-Fan 216]

hi,

 

ein Ansatz wäre ein Computerstartscript basierend auf sc.exe .

 

Siehe auch hier:

Microsoft Corporation

[Necron 71]

Normalerweise ist das Sicherheitscenter bei Computern die in einer Domain sind deaktiviert.

 

Ansonsten per GPO:

Computerkonfiguration->Administrative Vorlagen->Windows-Komponenten->Sicherheitscenter

[rok 12]

Normalerweise ist das Sicherheitscenter bei Computern die in einer Domain sind deaktiviert.

Von sich aus, oder per Konfiguration? Habe das AD nicht selber aufgesetzt.

 

Ansonsten per GPO:

Computerkonfiguration->Administrative Vorlagen->Windows-Komponenten->Sicherheitscenter

Hat leider nicht geklappt. Nach einem Neustart der Workstations werden die Meldungen noch immer angezeigt. :( Muss vielleicht noch etwas eingestellt werden?

 

BTW: Habe auf dem DC diese Richtlinie eingestellt, war doch korrekt so? (Start > ausführen > gpedit.msc)

[ducke 11]

Du musst eine GPO erstellen und diese an die OU verlinken in der sich die Workstation befinden.

Siehe auch Gruppenrichtlinien - Übersicht, FAQ und Tutorials

[rok 12]

Also war der Tip von Necron falsch?

Wo muss ich jetzt diese Gruppenrichtlinie erstellen, und was meinst du mit verlinken?

[vmorbit 10]

Die gruppenrichtlinie kannst du am DC erstellen...das passt schon so.

Nur nach dem erstellen musst du sie auch mit dem entsprechenden container verknüpfen, damit die GPO weiß auf wen sie denn aller los gehen soll...

 

das machst du am besten alles mit der GPMC:

Downloaddetails: Gruppenrichtlinien-Verwaltungskonsole mit SP1

 

mit der geht alles am einfachsten...

[rok 12]

Diese Gruppenrichtlinienverwaltungskonsole ist bereits installiert.

Ich muss jetzt nur wissen, was wohin verknüpft werden muss. Möchte nix kaputt machen.

[vmorbit 10]

hast du alle user in einer OU?

oder hast du sie im standard-container "users" drin?

auf diesen container kannst du nämlich keine GPOs verlinken, sondern nur auf echte OUs.

also falls deine ziel-user alle in einer OU sind, nimm einfach die GPO (unter gruppenrichtlinien-objekte) per drag n drop und zieh sie auf die ziel-OU.

das wars dann auch schon...mit hilfe der sicherheitsfilterung (von der ich allerdings aufgrund der übersichtlichkeit abrate) kannst du dann auch noch eine spezielle filterung durch gruppen machen, so dass nicht alle user einer OU von der GPO betroffen sind.

[rok 12]

Die User sind wohl alle in nem eigenen OU:

Start > Verwaltung > Active Directory-Benutzer und -Computer > Domäne.local > MyBusiness > Users > SBSUsers

 

Was ist denn die Ziel OU? Ich versteh nur Bahnhof.

 

Anders herum gefragt:

Anfangs wurde auch mal erwähnt: "Wenn richtig konfiguriert, ist das Sicherheitscenter eh aus". Hab mal auf nem Referenzsystem nachgesehen, da ist der Dienst auch nicht deaktiviert und trotzdem ist auf den Clients die Firewall nicht aktiv und das Sicherheitscenter nervt auch nicht. Was muss denn konkret eingestellt werden, damit das so läuft?

[vmorbit 10]

die ziel-OU (sorry habs vorher nicht ganz gepeilt) ist natürlich die OU in der all deine clients drinnen sind auf die die GPO wirken soll.

also nicht die user, sondern die computer-objekte...da diese GPO ja eine computerkonfiguration vornimmt.

 

das mit dem sicherheitscenter weiß ich nicht so genau...glaube da war gemeint, dass ein client der mitglied einer domäne ist, das sicherheits-center automatisch abdreht...

ob das so ist weiß ich gerade auch nicht...sorry

[Necron 71]

Also war der Tip von Necron falsch?

Falsch war er nicht, aber es scheint mir so als ob du noch nicht tief genug in der Materie drin steckst.

 

Zum Sicherheitscenter, dieses wird in einer AD-Domain auf den Clients, beim hinzufügen in die Domain, per Default deaktiviert.

 

Desweiteren muss die Einstellung mit dem Sicherheitscenter in einer GPO die sich auf eine OU oder auf die Domain auswirkt getroffen werden.

[rok 12]

Falsch war er nicht, aber es scheint mir so als ob du noch nicht tief genug in der Materie drin steckst.

Absolut nicht. Gebe ich zu. Aber ich versuche mich reinzulesen - so gut es geht. Leider drängt die Zeit :(

Hätte ich ein konkretes Beispiel würde mir das ganz bestimmt weiter helfen.

 

Zum Sicherheitscenter, dieses wird in einer AD-Domain auf den Clients, beim hinzufügen in die Domain, per Default deaktiviert.

Leider nicht, sonst hätte ich ja nicht o.g. Problem. Eventuell existiert diese Richtlinie nicht, bzw. wird durch eine andere überschrieben. Bisher hat aber noch keiner diese genannt. Somit weiß ich ehrlich gesagt auch nicht, wie ich das Problem eingrenzen kann.

 

Desweiteren muss die Einstellung mit dem Sicherheitscenter in einer GPO die sich auf eine OU oder auf die Domain auswirkt getroffen werden.

Wie sieht das konkret aus?