rg2525
Goto Top

Serverfirewall temporär ausschalten

Moin,

Auf einem Domänenmitgliedsserver Windows 2022 muss ich den Firewall temporär ausschalten.

Geht nicht. Meldung: Zu Ihrer Sicherheit werden einige Einstellungen vom Systemadministrator verwaltet.

Über PowerShell oder CMD habe ich einiges versucht.
. Set-NetFirewallProfile -Profile Domain -Enabled false
. netsh advfirewall set allprofiles state off

Das Domänenprofil kann ich nicht ausschalten.

Ich habe nie absichtlich derartiges eingestellt. Ich nehme an, das ist ein Default Verhalten.

Wo kann ich auf dem Domänencontroller in Gruppenrichtlinien diese Einstellung für diesen Computer temporär herausnehmen?

Oder gibt es eine einfachere Möglichkeit.

Danke
Olaf

Content-ID: 82356022319

Url: https://administrator.de/contentid/82356022319

Printed on: December 2, 2024 at 17:12 o'clock

nachgefragt
nachgefragt Jun 05, 2024 updated at 17:11:53 (UTC)
Goto Top
Im AD sind die GPOs i.d.R. Computergruppen zugeordnet, sodass die GPO gezogen wird. Der Server darf also nicht in diese Gruppe sein.

Wenn die GPO nicht an der falschen Stelle durchvererbt wird sollte es reichen eine neue Organisationseinheit zu bilden und den Server dort reinzuschieben, ggf. 1x neu starten.
Celiko
Celiko Jun 05, 2024 updated at 16:32:51 (UTC)
Goto Top
Hört sich nach einer gpo an.
Lies dir mal den gpresult durch.
Gpo deaktivieren reicht meist nicht, musst den key finden und löschen / ändern oder eine gegen policy schreiben

Wenn du nur lokal auf dem Server etwas änderst überschreibt der gpupdate wieder den key.

Vg
ThePinky777
Solution ThePinky777 Jun 05, 2024 updated at 16:38:03 (UTC)
Goto Top
Hm... ich versuchs laienhafter zu erklären:

Server ist im AD
im AD gibts Gruppenrichtlinien also GPOs
GPOs sind auf OUs (Verzeichnisbaum) im AD gelegt.
GPOs können aber auch auf AD Gruppen limitiert werden, z.B. Geräte die in ner OU sind aber Mitglied bestimmter AD Gruppen sind.

so und wenn die Meldung da kommt, dann ist deine Firewall Setting per GPO gesteuert, also musst du dafür sorgen das die GPO nicht auf den Server greift, erst dann kannst wieder manuell rumfummeln.
Kann durch verschieben in andere OU passieren oder oder oder oder auch nicht... je nachdem wer da rumgemurkst hat face-smile z.b. wenn jemand die default GPO vermurkst hat und die greift ganz oben im Baum wirds etwas komplex face-smile
Bedeutet dann muss man ne OU machen die nicht von oben die GPOs erbt, aber dann halt auch nicht deine default GPO und somit kann dein server dann vermutlich die Firewall ausschalten bekommt aber unter umständen ganz andere probleme dann weil die GPO mit anderen settings eben nicht mehr greift... hoffe du kannst uns hier noch folgen face-smile
RG2525
RG2525 Jun 05, 2024 at 17:21:50 (UTC)
Goto Top
Perfekt. Danke.
Eine neue OU erstellt. Server hin verschoben. gpupdate und jetzt passt es. DANKE
DerWoWusste
DerWoWusste Jun 06, 2024 at 08:44:38 (UTC)
Goto Top
Das Vorgehen ist nicht gut.

Was ist mit den anderen gewünschten GPOs, greifen die nun noch in der neuen OU?
Du kannst pro GPO die Sicherheitsfilterung einstellen; ein Verschieben in eine andere OU ist in der Regel nicht ratsam.

->Finde also per gpresult /h raus, welche GPO die Einstellung gesetzt hat (das geht natürlich nur, wenn wieder zurück in der alten OU)
->Dann wende bei Bedarf Sicherheitsfilterung auf diese GPO an, die das Recht "apply GPO" für den Server entzieht.