3
Windows Firewall GPO
Hallo liebe Leute,
ich versuche seit Stunden meine Firewall GPO etwas umzustricken - ich glaube mittlerweile fehlt mir die Geduld.
Ist - Zustand:
GPO Name: computer-Firewall
Sicherheitsfilterung: Authentifizierte Benutzer
Konfiguration: Deaktiviere die Windows Firewall auf den betroffenen Windows 7 Clients
Problem: Leider schränkt diese GPO aber auch die Domänenadministratoren ein. Auch diese dürfen keine Änderungen an der Firewall vornehmen - GPO sei dank.
Soll - Zustand:
Genau diese oben beschriebene Thematik soll sich ändern. Domänenadministratoren sollen von dieser GPO nicht tangiert werden. Domänenadministratoren sollen Änderungen an der Windows-Firewall vornehmen können - Domänenbenutzer aber nicht.
Bisherige Maßnahmen:
1.) In der GPO, auf dem Reiter "Delegierung" den Domänenadmins das Recht "GPO übernehmen" verweigert -> kein Erfolg
2.) Erstellung einer neuen GPO "computer-FirewallAdmin". Dort habe ich explizit eingestellt, dass das Domänenprofil "nicht konfiguriert" wird. Die Verarbeitungsreihenfolge wurde dann so abgeändert, dass zuerst die GPO-Einschränkung erfolgt und dann meine GPO "computer-FirewallAdmin", die es den Domänenadministratoren erlauben soll die Firewalleinstellungen zu verändern.
Diese Reihenfolge habe ich auch schon umgekehrt - leider ohne Erfolg.
3.) In der GPO die "Authentifizierten Benutzer" entfernt und die "Domänenbenutzer" hinzugefügt. GPO wird dann komplett außer Kraft gesetzt, was auch nicht wünschenswert ist.
Was mache ich falsch?
Ich sage vorab schon einmal vielen Dank für eure Hilfestellung.
Gruß
Element23
ich versuche seit Stunden meine Firewall GPO etwas umzustricken - ich glaube mittlerweile fehlt mir die Geduld.
Ist - Zustand:
GPO Name: computer-Firewall
Sicherheitsfilterung: Authentifizierte Benutzer
Konfiguration: Deaktiviere die Windows Firewall auf den betroffenen Windows 7 Clients
Problem: Leider schränkt diese GPO aber auch die Domänenadministratoren ein. Auch diese dürfen keine Änderungen an der Firewall vornehmen - GPO sei dank.
Soll - Zustand:
Genau diese oben beschriebene Thematik soll sich ändern. Domänenadministratoren sollen von dieser GPO nicht tangiert werden. Domänenadministratoren sollen Änderungen an der Windows-Firewall vornehmen können - Domänenbenutzer aber nicht.
Bisherige Maßnahmen:
1.) In der GPO, auf dem Reiter "Delegierung" den Domänenadmins das Recht "GPO übernehmen" verweigert -> kein Erfolg
2.) Erstellung einer neuen GPO "computer-FirewallAdmin". Dort habe ich explizit eingestellt, dass das Domänenprofil "nicht konfiguriert" wird. Die Verarbeitungsreihenfolge wurde dann so abgeändert, dass zuerst die GPO-Einschränkung erfolgt und dann meine GPO "computer-FirewallAdmin", die es den Domänenadministratoren erlauben soll die Firewalleinstellungen zu verändern.
Diese Reihenfolge habe ich auch schon umgekehrt - leider ohne Erfolg.
3.) In der GPO die "Authentifizierten Benutzer" entfernt und die "Domänenbenutzer" hinzugefügt. GPO wird dann komplett außer Kraft gesetzt, was auch nicht wünschenswert ist.
Was mache ich falsch?
Ich sage vorab schon einmal vielen Dank für eure Hilfestellung.
Gruß
Element23
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 262271
Url: https://administrator.de/contentid/262271
Printed on: April 25, 2024 at 07:04 o'clock
3 Comments
Latest comment
Hi.
Um zu erreichen, dass normale Nutzer die Firewall nicht konfigurieren können, brauchst Du nichts zu tun, das ist schon per Default so.
Oder sind Deine User lokale Admins?
Um zu erreichen, dass normale Nutzer die Firewall nicht konfigurieren können, brauchst Du nichts zu tun, das ist schon per Default so.
Oder sind Deine User lokale Admins?
Hi Element23,
dein letzter Schritt -> jeder deiner ADMs ist auch ein Dom-Benutzer
Die Firewall Einstellung ist eine Computer GPO und nicht Nutzerbezogen. Deshalb greift auch der Dom Benutzer nicht mehr, weil die Dom Computer fehlen.
Authentifizierter Benutzer = Dom Benutzer + Dom Computer
Das mit der Maßnahme 2 GPOs zu erstellen und die Reihenfolge zu ändern klappt nur wenn du entweder ja oder nein einträgst. Nicht konfiguriert wird von der nächsten GPO überschrieben.
Das mit der Sicherheitsfilterung klappt auch nicht weil Computer bezogen (siehe oben)
Zum Prob selber : Fällt mir gerade auch nix auf die schnelle ein, eventuell für den normalen User per Logonscript den entsprechenden Reg-Key setzen. (dort könnte man dann mit Sicherheitsfilter die ADMs rausnehmen)
Alternativ alle PCs der ADMs in eine Gruppe und dann per Sicherheitsfilter verneinen (das sollte dann klappen)
vielleicht fällt mir noch was ein
mfg Rob
dein letzter Schritt -> jeder deiner ADMs ist auch ein Dom-Benutzer
Die Firewall Einstellung ist eine Computer GPO und nicht Nutzerbezogen. Deshalb greift auch der Dom Benutzer nicht mehr, weil die Dom Computer fehlen.
Authentifizierter Benutzer = Dom Benutzer + Dom Computer
Das mit der Maßnahme 2 GPOs zu erstellen und die Reihenfolge zu ändern klappt nur wenn du entweder ja oder nein einträgst. Nicht konfiguriert wird von der nächsten GPO überschrieben.
Das mit der Sicherheitsfilterung klappt auch nicht weil Computer bezogen (siehe oben)
Zum Prob selber : Fällt mir gerade auch nix auf die schnelle ein, eventuell für den normalen User per Logonscript den entsprechenden Reg-Key setzen. (dort könnte man dann mit Sicherheitsfilter die ADMs rausnehmen)
Alternativ alle PCs der ADMs in eine Gruppe und dann per Sicherheitsfilter verneinen (das sollte dann klappen)
vielleicht fällt mir noch was ein
mfg Rob
Moin Moin,
Ich verstehe die Zielsetzung nicht:
Warum sollte irgendjemand (auch ein Admin) noch was an einer deaktivierten Firewall konfigurieren?
Empfehlung: Deaktiviere die Firewall in der Domäne über
Computerkonfiguration / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows-Firewall / Domänenprofil
und stell dir in deinem Netz (bzw "davor") eine "richtige" Firewall hin.
Gruß L.
Ich verstehe die Zielsetzung nicht:
Warum sollte irgendjemand (auch ein Admin) noch was an einer deaktivierten Firewall konfigurieren?
Empfehlung: Deaktiviere die Firewall in der Domäne über
Computerkonfiguration / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows-Firewall / Domänenprofil
und stell dir in deinem Netz (bzw "davor") eine "richtige" Firewall hin.
Gruß L.
