Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Firewall GPO

Mitglied: Element23

Element23 (Level 1) - Jetzt verbinden

04.02.2015 um 16:16 Uhr, 834 Aufrufe, 3 Kommentare

Hallo liebe Leute,

ich versuche seit Stunden meine Firewall GPO etwas umzustricken - ich glaube mittlerweile fehlt mir die Geduld.


Ist - Zustand:

GPO Name: computer-Firewall
Sicherheitsfilterung: Authentifizierte Benutzer

Konfiguration: Deaktiviere die Windows Firewall auf den betroffenen Windows 7 Clients

Problem: Leider schränkt diese GPO aber auch die Domänenadministratoren ein. Auch diese dürfen keine Änderungen an der Firewall vornehmen - GPO sei dank.



Soll - Zustand:

Genau diese oben beschriebene Thematik soll sich ändern. Domänenadministratoren sollen von dieser GPO nicht tangiert werden. Domänenadministratoren sollen Änderungen an der Windows-Firewall vornehmen können - Domänenbenutzer aber nicht.



Bisherige Maßnahmen:

1.) In der GPO, auf dem Reiter "Delegierung" den Domänenadmins das Recht "GPO übernehmen" verweigert -> kein Erfolg

2.) Erstellung einer neuen GPO "computer-FirewallAdmin". Dort habe ich explizit eingestellt, dass das Domänenprofil "nicht konfiguriert" wird. Die Verarbeitungsreihenfolge wurde dann so abgeändert, dass zuerst die GPO-Einschränkung erfolgt und dann meine GPO "computer-FirewallAdmin", die es den Domänenadministratoren erlauben soll die Firewalleinstellungen zu verändern.
Diese Reihenfolge habe ich auch schon umgekehrt - leider ohne Erfolg.

3.) In der GPO die "Authentifizierten Benutzer" entfernt und die "Domänenbenutzer" hinzugefügt. GPO wird dann komplett außer Kraft gesetzt, was auch nicht wünschenswert ist.



Was mache ich falsch?

Ich sage vorab schon einmal vielen Dank für eure Hilfestellung.


Gruß

Element23
Mitglied: DerWoWusste
04.02.2015 um 16:40 Uhr
Hi.

Um zu erreichen, dass normale Nutzer die Firewall nicht konfigurieren können, brauchst Du nichts zu tun, das ist schon per Default so.
Oder sind Deine User lokale Admins?
Bitte warten ..
Mitglied: Borob14
04.02.2015 um 17:15 Uhr
Hi Element23,

dein letzter Schritt -> jeder deiner ADMs ist auch ein Dom-Benutzer
Die Firewall Einstellung ist eine Computer GPO und nicht Nutzerbezogen. Deshalb greift auch der Dom Benutzer nicht mehr, weil die Dom Computer fehlen.
Authentifizierter Benutzer = Dom Benutzer + Dom Computer

Das mit der Maßnahme 2 GPOs zu erstellen und die Reihenfolge zu ändern klappt nur wenn du entweder ja oder nein einträgst. Nicht konfiguriert wird von der nächsten GPO überschrieben.

Das mit der Sicherheitsfilterung klappt auch nicht weil Computer bezogen (siehe oben)

Zum Prob selber : Fällt mir gerade auch nix auf die schnelle ein, eventuell für den normalen User per Logonscript den entsprechenden Reg-Key setzen. (dort könnte man dann mit Sicherheitsfilter die ADMs rausnehmen)
Alternativ alle PCs der ADMs in eine Gruppe und dann per Sicherheitsfilter verneinen (das sollte dann klappen)

vielleicht fällt mir noch was ein

mfg Rob
Bitte warten ..
Mitglied: Logan000
05.02.2015 um 08:39 Uhr
Moin Moin,

Ich verstehe die Zielsetzung nicht:
Warum sollte irgendjemand (auch ein Admin) noch was an einer deaktivierten Firewall konfigurieren?

Empfehlung: Deaktiviere die Firewall in der Domäne über
Computerkonfiguration / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows-Firewall / Domänenprofil
und stell dir in deinem Netz (bzw "davor") eine "richtige" Firewall hin.

Gruß L.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Firewall via GPO
gelöst Frage von Ghost108Windows Server2 Kommentare

Hallo zusammen, wollte gerne via GPO die Windows Firewall konfigurieren. Habe dafür folgende Anleitung zu Hilfe gezogen: Hat am ...

Windows Server
Firewall Regel über GPO
gelöst Frage von Hans3003Windows Server1 Kommentar

Hallo zusammen, ich habe eine Frage zur Konfiguration einer Richtlinie auf einem Windows Server 2012R2 Ich würde gerne eine ...

Firewall
GPO- Firewall automatische Reaktivierung
Frage von TxgreyFirewall4 Kommentare

Hallo Leute, Specs: Windows 2012 R2 Server , Win 10 Client Was muss ich für einstellung vornehmen sodass wie ...

Windows Server

Windows Server Firewall per GPO vorübergehend abschalten

Frage von geTr0ffEnWindows Server6 Kommentare

Hi, mal eine Frage: Ist es möglich, eine Firewall, die per GPO verteilt wird, diese beispielsweise an einem Notebook, ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 10 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 10 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 14 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...