GPO RDP-Verw.ausnahme zulassen für Win7, W2K8

[MCCHoschy 10]

Hi zusammen,

 

ich bin total am Verzweifeln und zwar wegen einer GPO-Anpassung für RDP-Zugriffe für weitere Subnetze für Clients wie Vista und Win7 dazu die W2K8 Generation. Hier hat sich etwas verändert bei der GPO Übergabe der Einstellungen für die lokale Firewallrichtlinie die via globale Domain-Policy übergeben wird.

 

Die Änderung unter Win2000, WinXPP und W2K3 greifen hier ohne Probleme nur ab Win6 aufwärts gilt das wohl nicht mehr für die GP-Übernahme auf den Systemen.

 

Für die älteren OS geht das noch über GP-Editor:

Comp.konf / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Win.Firewall / Domainprofil - Win.FW: Remoteausnahme zulassen: Aktiv; hier wurde folgende Ausnahme hinterlegt: localsubnet,*

 

Wie kann ich nun diese Anpassung für Visat, Win7 und W2K8 bereitstellen.

Habe dazu auch nur minimale Informationen über einschlägig bekannte Suchmaschienen zurück bekommen. Also bitte keine Anmerkungen wie z.B.:

Versuch doch mal zu Google'n, danke habe ich schon :D

 

Hoffe jemand von euch kennt hier Abhilfe!

 

Grüße, MCCHoschy

bearbeitet 14. April 2010 von MCCHoschy

[Necron 71]

Hi,

 

die Einstellungen für Vista, Win7 und Server 2008 findest du in den Sicherheitseinstellungen unter Windows-Einstellungen.

[IThome 10]

Von wo aus konfigurierst Du die Gruppenrichtlinien ?

[MCCHoschy 10]

Hi,

 

danke für die schnelle Antwort.

Ich bearbeite meine GPO über GPMC.MSC und hier in der OU-Gruppenrichtlinenobjekte die entsprechende Domain-Policy bearbeiten.

 

@NECRON: Meinst du unter Win.-Einstellungen / Lokale Richtlinien / Sicherheitsoptionen ?

 

Grüße, MCCHoschy

[Necron 71]

@NECRON: Meinst du unter Win.-Einstellungen / Lokale Richtlinien / Sicherheitsoptionen ?

Windows-Einstellungen->Sicherheitseinstellungen->Windows Firewall mit erweiterter Sicherheit

[MCCHoschy 10]

Also,

 

sprichst du jetzt vom AD oder lokalen MMC am jeweiligen Clients?

 

Zur Korrektur: Es handelt sich hier um einen DC W2K3 SP2 in dem ich die Policy hinterlegen/ anpassen wollen würde, wenn dies gehen sollte für WinVista, Win7 und W2K8.

 

Denn in dem GPO-Manager: XY-Policy / Gruppenrichtlinienobjekte-Editor / Comp.konf. / Wind.-Einstellungen finde ich nur folgendes unter Sicherheitseinstellungen:

 

+ Kontorichtlinien

+ Lokale Richtlinien

+ Ereignisprotokoll

+ Eingeschränkte Gruppen

+ Systemdienste

+ Registrierung

+ Drahtlosnetzwerkrichtl.

+ Richtlinien öffentlicher Schlüssel

+ Richtlinienen für Softwareeinschränkungen

+ IP Sicherungsrichtlinien auf Active Directory

[IThome 10]

Du konfigurierst Deine Richtlinie direkt vom Server aus oder benutzt Du den neuesten Client (Windows 7) ? Du solltest Deine Gruppenrichtlinien immer vom neuesten Client aus konfigurieren ...

[Necron 71]

Du solltest Deine Gruppenrichtlinien immer vom neuesten Client aus konfigurieren ...

Genau, dann bekommst du auch den von mir angegebenen Pfad angezeigt!

[MCCHoschy 10]

Ok.

 

Ich habe hier mehrere System laufen von XP bis Win7 und W2K3 und W2K8.

Ich konfiguriere meine GP eigentlich immer direkt auf dem DC, zumindestens bis W2K3.

 

Diese geänderte Policy hole ich mir dann via GPUpdate /force am jeweiligen Client. Und schon greift die Einstellung die ich am DC i.d. GP hinterlegt hatte.

 

Gut, wenn du meinst das ich die am besten an meinem neuesten Client erstellen sollte, wie sollte ich hier dann am besten vorgehen? Da ich diese ja Domain-Weit verteilen lassen will.

 

Sry, steh gerade etwas auf dem Schlauch ;)

[IThome 10]

Du musst zuerst RSAT downloaden und installieren ...

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d

Danach kannst Du das Feature zufügen (Programme und Funktionen) ...

[MCCHoschy 10]

@NECRON: Jo jetzt seh ich die Einstellung auch über MMC / SnapIn / Richtlinien für lokaler Comp. Danke. Wusste nicht wovon du ausgegangen bist. Wie gesagt ich arbeite immer nur mit der GPO-Mangager am DC.

 

@ITHome: So, bin nun im MMC SnapIn R.f. laklen Computer (Windows7 Enterprise). Von hier aus könnte ich die RDP Zugriffe aus weiteren subnetzen auch hinterlegen, wenn ja wo und wie kann ich diese weiter an andere Clients (Windows 7, Vista u. W2K8) ausrollen? Über das RSAT bin ich auch schon gestoßen, dachte nicht das ich dies auch wirklich benötige.

 

Danke für die Hilfe.

[IThome 10]

@ITHome: So, bin nun im MMC SnapIn R.f. laklen Computer (Windows7 Enterprise). Von hier aus könnte ich die RDP Zugriffe aus weiteren subnetzen auch hinterlegen, wenn ja wo und wie kann ich diese weiter an andere Clients (Windows 7, Vista u. W2K8) ausrollen? Über das RSAT bin ich auch schon gestoßen, dachte nicht das ich dies auch wirklich benötige.

 

Habe jetzt nicht ganz verstanden, was Du möchtest ... :wink2: Du solltest mit der Gruppenrichtlinienverwaltungskonsole arbeiten, nicht mit dem lokalen Gruppenrichtlinieneditor (Du willst ja eine Domänenrichtlinie erstellen) ...

[MCCHoschy 10]

@ITHome: Gruppenrichtlinienverwaltungskonsole arbeite ich ja auch :D am DC (W2K3) =

Das ist ein Beispielscreen...

 

 

Gut, jetzt habe ich die MMC mit dem Richtlinienobjekt via SnapIn vom DC auf meinem Win7 aufgerufen (wie NECRON meinte). Nur gibt es unter Win7 ein paar mehr Möglichkeiten für die Windows-Firewall mit erweiterter Sicherheit zu konfigurieren.

Z.B. Ein und ausgehende Regeln und Verbindungssicherheitsregel, nun suche ich die Funktion für die RDP-Sitzungen um diese a) zu aktivieren und b) weitere Subnetze hinzufügen. Kenne mich leider nicht damit aus mit dem Regelwerk. Wo könnte ich das anpassen?

 

 

Grüße, MCCHoschy

bearbeitet 14. April 2010 von MCCHoschy

[Necron 71]

Z.B. Ein und ausgehende Regeln und Verbindungssicherheitsregel, nun suche ich die Funktion für die RDP-Sitzungen um diese a) zu aktivieren und b) weitere Subnetze hinzufügen. Kenne mich leider nicht damit aus mit dem Regelwerk. Wo könnte ich das anpassen?

Bei den eingehenden und ausgehenden Regeln, je nachdem was du konfigurieren möchtest.

 

Willst du für die RDP-Sitzungen nur den Port freischalten oder diese in den Eigenschaften unter Computer aktivieren?

[IThome 10]

Du konfigurierst eine eingehende Regel, wählst "Vordefiniert - Remotedesktop" aus. Danach konfigurierst Du dann nur noch, mit welcher Sicherheitsstufe Remote Desktop zu erreichen ist. Ist der Assistent fertig, klickst Du mit rechts auf die neue Regel - Eigenschaften und konfigurierst Bereiche, Profile usw.

Schaue Dir vor und nach der Änderung via MMC - Windows Firewall mit erweiterter Sicherheit mal die erzeugten Regeln an. Wie Du sehen wirst, gibt es mehrere Regeln, die sich auf verschiedene Firewallprofile beziehen, abhängig davon, in welchem Netzwerk Du Dich befindest (Domäne,privat,öffentlich zu sehen im Freigabecenter).

Die alte Einstellung bezieht sich auf ein Domänenprofil und ein Standardprofil. Diese Bezeichnung "Profil" hat aber eine andere Bedeutung als bei der neuen Firewall. Das Domänenprofil (verwaltetes Netzwerk) ist das, was zu dem Zeitpunkt der Anwendung der Richtlinie aktuell war. Entweder ist der Verbindungssuffix oder das Subnetz ausschlaggebend. Das Standardprofil dagegen ist alles, was nicht Verbindungssuffix/Subnetz zum Zeitpunkt der Erstanwendung der Firewallrichtlinie ist ...