6
Konflikte in Group Policy (Firewall Setting)
Hallo,
vorab: Ich bin noch unerfahren in diesem Bereich und bitte um Verständnis dafür, dass die Frage manchen möglicherweise unnötig oder deren Antwort völlig eindeutig erscheinen mag. Eine erste Google-Suche hat mich bis jetzt nur zu dem Fall geführt, dass sich widersprechende Einstellungen vorgenommen wurden.
ich habe zwei verschiedene Gruppenrichtlinien auf gleicher Ebene, die an die Domainuser verteilt werden. Die erste Firewall ist sozusagen die Standard Domain Policy und die zweite ist eine, die im Moment testweise nur für Firewall-Ausnahmen da ist.
Zu Testzwecken habe ich in der ersten Firewall das Domainprofil auf "off" gesetzt. Dies wurde vom Client an sich auch so übernommen. Jedenfalls dachte ich das, da in der zweiten Richtlinie "not configured" gesetzt ist. Nun hatte ich aber Probleme, über VPN einen Port zu erreichen. Ich habe dann einfach mal in der zweiten Richtlinie eine Ausnahme gesetzt und siehe da, ich kann den Port erreichen.
Kann mir jemand dieses Verhalten erklären? Ich hätte vermutet, dass - solange ich keine Einstellungen in der zweiten Richtlinie setze - die Einstellungen der ersten (Zustand "Firewall off") ausnahmslos gesetzt wird.
Ich bitte ausdrücklich um nicht sarkastische oder zynische Antworten. Wenn Informationen fehlen, dann bitte sachlich darauf hinweisen. Ich weiß nicht, worauf es möglicherweise ankommt.
vorab: Ich bin noch unerfahren in diesem Bereich und bitte um Verständnis dafür, dass die Frage manchen möglicherweise unnötig oder deren Antwort völlig eindeutig erscheinen mag. Eine erste Google-Suche hat mich bis jetzt nur zu dem Fall geführt, dass sich widersprechende Einstellungen vorgenommen wurden.
ich habe zwei verschiedene Gruppenrichtlinien auf gleicher Ebene, die an die Domainuser verteilt werden. Die erste Firewall ist sozusagen die Standard Domain Policy und die zweite ist eine, die im Moment testweise nur für Firewall-Ausnahmen da ist.
Zu Testzwecken habe ich in der ersten Firewall das Domainprofil auf "off" gesetzt. Dies wurde vom Client an sich auch so übernommen. Jedenfalls dachte ich das, da in der zweiten Richtlinie "not configured" gesetzt ist. Nun hatte ich aber Probleme, über VPN einen Port zu erreichen. Ich habe dann einfach mal in der zweiten Richtlinie eine Ausnahme gesetzt und siehe da, ich kann den Port erreichen.
Kann mir jemand dieses Verhalten erklären? Ich hätte vermutet, dass - solange ich keine Einstellungen in der zweiten Richtlinie setze - die Einstellungen der ersten (Zustand "Firewall off") ausnahmslos gesetzt wird.
Ich bitte ausdrücklich um nicht sarkastische oder zynische Antworten. Wenn Informationen fehlen, dann bitte sachlich darauf hinweisen. Ich weiß nicht, worauf es möglicherweise ankommt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 529852
Url: https://administrator.de/contentid/529852
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
https://sourcedaddy.com/windows-7/considerations-when-managing-windows-f ...
https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/
... Note that if multiple GPOs for firewall policy target the same computer and each GPO has different default rules configured, the default rules for the GPO that has the highest precedence apply. ...
Es ist doch gerade bei einer GPO "not configured" gesetzt. Das ist ja der Unterschied, den ich meinte.
Zitat von @Porfavor:
Es ist doch gerade bei einer GPO "not configured" gesetzt. Das ist ja der Unterschied, den ich meinte.
Du hast es offensichtlich nicht verstanden. Wenn die Policy die auf "nicht konfiguriert" steht eine höhere Priorität hat (also in der Prioliste ganz oben steht), dann ist die FW eingeschaltet weil das der Default-Zustand bei "nicht konfiguriert" ist. Die andere GPO wird dann komplett ignoriert, habe ich ja oben extra den Auszug von gepostet!Es ist doch gerade bei einer GPO "not configured" gesetzt. Das ist ja der Unterschied, den ich meinte.
Das mache ich gerne nochmal
Note that if multiple GPOs for firewall policy target the same computer and each GPO has different default rules configured, the default rules for the GPO that has the highest precedence apply
Ah, dann habe ich es jetzt verstanden. Ich dachte, dass "nicht konfiguriert" "default rules configured" widerspricht, was man vom Wortsinn her ja hätte vermuten können. In dem Fall ist also "nicht konfiguriert" die "Standardkonfiguration".
Danke.
Danke.
Ich habe allerdings gerade bei der Link Order festgestellt, dass die GPO mit der Einstellung "off" für die Firewall die Nr. 1 und die andere GPO mit "not configured" die Nr. 2 hat, während beide Domain policies sind. "Enforced" ist jeweils auf "No" eingestellt. Demnach müsste doch die Nr. 1 die letzte Einstellung setzen und es müsste auf "off" gesetzt sein? Das hat ja laut Anzeige auf dem Client auch genau so funktioniert. Dennoch war der Port offenbar vorher geschlossen, sonst hätte die Änderung ja nicht bewirkt?
Sorry für die ganzen Updates.
Ich habe jetzt die Firewall auf "on", "Inbound Connections" auf "blocked" und die Ausnahme "disabled". Ich habe gpupdate /force durchgeführt und dennoch kann ich mich noch mit dem Port via Telnet verbinden. Das verstehe ich jetzt wiederum nicht.
Ich habe jetzt die Firewall auf "on", "Inbound Connections" auf "blocked" und die Ausnahme "disabled". Ich habe gpupdate /force durchgeführt und dennoch kann ich mich noch mit dem Port via Telnet verbinden. Das verstehe ich jetzt wiederum nicht.
