robotroonie 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Folgende Problemstellung: Im Netz gibt es diverse PCs und Notebooks; die Notebooks sind natürlich auch immer mal unterwegs. Diese sind in separaten OUs erfasst. Der bisherige Stand war folgender: Windows-Firewall wurde für alle per Default Domain Policy (DDP) vorgegeben. Da diese aber eventuell beschädigt ist (?) lässt sich die Firewall nicht mehr anpassen/deaktivieren (auch vom XP SP2-Client aus, von dem aus diese erstellt wurde; trotz Einspielen der entsprechenden Templates auch vom 2k-Server aus nicht / per Richtlinienergebnissatz wird mir die Anwendung der FW-RL Aber angezeigt). Der komplette Untereintrag fehlt einfach. Da in der DDP auch andere angepasste Einstellungen vorhanden sind, möchte ich diese nicht zurücksetzen. Da aber zusätzliche Clients ins Netz kamen sowie neue Software - die in der FW als Ausnahme definiert werden muss, habe ich die normalen Clients in entsprechende OUs verschoben und an diesen jeweils neue RL festgemacht - bei denen die FW deaktiviert ist (Domänenprofil) - bei diesen RL wurde der zu konfigurierende Eintrag auch wieder angezeigt (im Gegensatz zur DDP). Da das Netz durch Router und Antivirenlösung geschützt ist, ist die Client-Firewall sicher obsolet. Nun würde ich aber die Notebooks gern so konfigurieren, dass sie im Netz keine FW aktiv haben; außerhalb aber schon. Meines Wissens entspricht das der Einstellung: FW im Domänenprofil deaktiviert / FW im Standardprofil aktiviert. Ist das so weit korrekt? Oder wird beim Anmelden mit lokal zwischengespeicherten Credentials der Domäne dann doch das Domänenprofil verwendet? Gemäß Netzwerkbestimmungsverhalten sollte das laut MS nicht so sein: TechNet - The Cable Guy - May 2004: Network Determination Behavior for Network-Related Group Policy Settings Wenn das (Standard)Profil nicht konfiguriert wird, wird es ja von der DDP überlagert. Trifft das auch beim Betrieb jenseits des Domänennetzes auf (wird die DDP dann angewendet)? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Diese Einstellungen beziehen sich auf Subnetze. Das Domänenprofil bezieht sich auf das Subnetz, in dem man sich befunden hat, als diese Richtlinie angewendet wurde (also Kontakt zum DC hergestellt wurde). Das Standardprofil umfasst demzufolge ALLE anderen Subnetze (nicht verbunden eingeschlossen). Wird eine Richtlinie in eine OU gelinkt, hat sie eine höhere Priorität als die Domänenrichtlinie. Wenn die Notebooks also in einer gemeinsamen OU platziert werden und dort ein GPO wirkt, was das Domänen- und das Standardprofil konfiguriert, sind diese Einstellungen gültig ... Zitieren Link zu diesem Kommentar
robotroonie 10 Geschrieben 27. September 2006 Autor Melden Teilen Geschrieben 27. September 2006 OK. Nun besteht die Domäne aber aus 4 Subnetzen. Da bei allen eine Anmeldung an der Domäne (inkl. Verbindung zum DC) erfolgt, wird das Domänenprofil immer angewendet - auch wenn ein Notebook zwischen Subnetzen wandert? Wie verhält es sich mit der Default Domain Policy? Wird diese auch angewendet, wenn die Anmeldung getrennt vom Netz (mit cached credentials) erfolgt? Geplante Kfg wäre: an Notebook-OUs Domänenprofil auf FW deaktiviert und Standardprofil auf nicht konfiguriert (wird dann von der kfg. FW der DDP überlagert). Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Hallo, ich habe ein ähnliches Ziel mit der Einstellung 'Verwendung des Internetverbindungsfirewalls im eigenen Domänennetzwerk nicht zuilassen' unter Computerkonfig. -> Admin. Vorlagen -> Netzwerk/Netzwerkverbindungen erreicht. Sobald man das Netzkabel zieht oder das Notebook unser WLAN nicht findet geht die Firewall hoch. Gruß Robert Zitieren Link zu diesem Kommentar
robotroonie 10 Geschrieben 27. September 2006 Autor Melden Teilen Geschrieben 27. September 2006 Danke; werde ich mir morgen mal anschauen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Ist die Internetverbindungsfirewall-Einstellung nicht nur geeignet für Windows XP SP1 und kleiner ? edit: ne, is falsch,sie wirkt auch für SP2 Maschinen, wenn die Windows-Firewall Richtlinie im Domänenprofil nicht konfiguriert/aktiviert ist Und ja, die Richtlinien wirken auch, wenn man sich mit Cached Credentials anmeldet ... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Ich habe mir mal den Artikel durchgelesen, den Du gepostet hast. In diesem Artikel wird nur vom Verbindungssuffix gesprochen. Das scheint aber nicht alles zu sein, denn wenn ich keinen Verbindungssuffix konfiguriert habe, weder über DHCP noch manuell, wird die Einstellung abhängig von der IP-Adresse gemacht. Befinde ich mich in dem IP-Bereich, in dem ich mich befand, als die Richtlinie angewendet wurde, wird das Domänenprofil angewendet. Ändere ich die Adresse, wird das Standardprofil angewendet (beides ohne konfigurierten Verbindungssuffix). In diesem Fall ist nur der primäre DNS-Suffix aktiv, der für sämtliche Verbindungen des Rechners gilt (hier aber offensichtlich überhaupt keine Rolle spielt). Ist also ohne Verbindungssuffix eine Richtlinie angewendet worden, steht in dem angesprochenen Registry-Key nicht der Domänenname, sondern die Netzwerkadresse (in meinem Fall 192.168.102.0). In diesem Fall wird das Domänenprofil angewendet, wenn ich eine Adresse im 192.168.102.0 Bereich habe und wenn ich die Adresse ändere, das Standardprofil. Ist ein Verbindungssuffix beim Anwenden der Gruppenrichtlinie aktiv, wird dieser in den NetworkName Regkey eingetragen (das kann sogar ein x-beliebiger Suffix sein) . Bekomme ich also von einem DHCP-Server einen Verbindungssuffix geliefert oder ist er fest eingestellt und ist der Computer mit dem Netzwerk der Firma verbunden und kann Richtlinien anwenden, ist dieser beim Kontakt zum DC aktive Verbindungssuffix entscheidend für die Festlegung, ob die Einstellungen des Domänen- oder Standardprofils angewendet werden. Ist der Suffix aktiv, kann sich auch die IP-Adresse ändern und es ist trotzdem das Domänenprofil aktiv. Da Du mehrere Subnetze hast, wäre es bei Dir sicher klüger, die Festlegung über den Verbindungssuffix festzulegen und nicht über die IP-Adressierung ... Zitieren Link zu diesem Kommentar
robotroonie 10 Geschrieben 28. September 2006 Autor Melden Teilen Geschrieben 28. September 2006 Danke. Das mit den Suffixen hatte ich in dem Artikel auch so verstanden. Aber die Schlußfolgerung hat mir gefehlt (Bestimmung über DNS-Suffix überlagert Bestimmung über IP). Nur warum steht das (Bestimmung über IP) nicht im Artikel? Dieser beschreibt ja ausdrücklich das MS-Verhalten zur Netzwerkbestimmung. Da noch kein DHCP implementiert ist, wäre es relativ aufwändig, auf jedem Client einen DNS-Suffix einzutragen (DHCP kommt aber bald). Da die Einstellung aber keine Lücke darstellt, wäre das Ganze in diesem speziellen Fall unkritisch (Firewall aus Standardprofil wird auch im anderen Subnetz auf dem Notebook angewendet, statt nur off site). Fazit wäre also: bewege ich einen Client (Computer und User sind Domänenmitglieder) von einem Subnetz der Domäne in ein anderes (und es ist kein DNS-Suffix konfiguriert), wird das Domänenprofil NICHT angewendet. Da das doch etwas einer allgemeinen Logik (bzw. dem angenommenen Standard-Verhalten) widerspricht, müsste so etwas in den MS-Unterlagen eigentlich besser herausgestellt werden. Zitieren Link zu diesem Kommentar
robotroonie 10 Geschrieben 28. September 2006 Autor Melden Teilen Geschrieben 28. September 2006 @ nobex Die Einstellung ist vorhanden. (Natürlich fehlt auch diese in der beschädigten Default Domain Policy). Sicher ist das die bessere Wahl zum Konfigurieren der Einstellung. Stellt sich nur die Frage: wie wird bestimmt, ob jemand "im eigenen DNS-Domänennetzwerk" ist? Auch so, wie von ITHome beschrieben? Oder anders? Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 28. September 2006 Melden Teilen Geschrieben 28. September 2006 Hallo, sicherlich wird es bei diese Einstellung (sie wird ja auch im Artikel erwähnt) auf dieselbe Erkennungsmethode hinauslaufen. Gruß Robert Zitieren Link zu diesem Kommentar
robotroonie 10 Geschrieben 28. September 2006 Autor Melden Teilen Geschrieben 28. September 2006 Bleibt nur noch die Frage, ob eine Einstellung bei Computerkonfig. -> Admin. Vorlagen -> Netzwerk/Netzwerkverbindungen -> 'Verwendung des Internetverbindungsfirewalls im eigenen Domänennetzwerk nicht zulassen" dann wirklich den Eintrag der Domain Policy in jedem Fall (seiner Anwendung) überlagert. Diese ist ja genaugenommen an einer anderen Stelle > Computerkonfig. -> Admin. Vorlagen -> Netzwerk/Netzwerkverbindungen -> Windows-Firewall -> Domänenprofil Im Normalfall sollte es so sein, da ja auch der Eintrag Windows-Firewall der anderen Einstellung untergeordnet ist. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 28. September 2006 Melden Teilen Geschrieben 28. September 2006 Wenn die Windows-Firewall im Domänenprofil konfiguriert ist (gilt nur für XP-SP2), gilt die von Dir genannte Einstellung nur für XP-Maschinen mit SP1. Es ist also in Deinem Fall die Konfiguration in der Default Domain Policy gültig (sie konfiguriert den Windows-Firewall, nicht den Internetverbindungsfirewall) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.