[XP] 'Hulp op afstand' en Firewall 'Domain policy' probleem - Windows clients

woensdag 23 november 2005 16:46

Acties:

domeingrommer

Topicstarter

Hallo,

Situatie;

Ik heb in een Windows 2000 Domein via Group Policies de Windows XP NL SP2 Client's zo aangepast dat 'unsolicited remote assistance' mogelijk wordt.

Het werkt inderdaad om 'ongevraagd' iemand hulp aan te bieden;

Mogelijkheid tot scherm overnemen OK
Mogelijkheid tot bestanden uitwisselen OK

Maar wat het probleem is;
Ik kan geen 'spraak' functie activeren.

Windows komt met de melding;
'Omdat Windows Firewall zodanig is geconfigureerd dat geen uitzonderingen worden toegestaan, kan geen spraakverbinding worden gemaakt.'

Nu is het wel degelijk zo dat ik uitzonderingen gedefinieerd heb in het 'Domain Profile' van de firewall policy. Ik heb ook expliciet aangegeven dat 'exceptions' juist mogen;

De volgende uitzonderingen zijn dan ook actief;

code:

Windows Firewall: Define port exceptions

135:TCP:192.168.0.0/16:Enabled:Offer Remote Assistance

Windows Firewall: Define program exceptions

%WINDIR%\SYSTEM32\Sessmgr.exe:192.168.0.0/16:Enabled:Remote Assistance
%WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe:192.168.0.0/16:Enabled:Offer Remote Assistance
%WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe:192.168.0.0/16:Enabled:Remote Assistance Windows Messenger and Voice

Het lijkt er dus op dat Hulp op afstand abusievelijk 'denkt' dat de optie 'geen uitzondering toestaan' geactiveerd is binnen de Windows Firewall, dit als de Firewall instellingen via een Group Policy worden afgedwongen.

Als ik lokaal, dus zonder Group Policy, exact dezelfde firewall exceptions invoer werkt het wel.

Vraag;
Wie kan dit probleem herproduceren? Let wel op ik gebruik XP Pro NL clients.
Ik heb het nog niet met een US versie geprobeerd.

[ Voor 16% gewijzigd door grimson op 23-11-2005 16:47 ]

Zon opbrengst http://plugwise.grimson.nl/ | Fotomeuk

woensdag 23 november 2005 20:29

Acties:

elevator

Officieel moto fan :)

Zomaar een gok - maar kan het zijn dat de users geen administrator zijn en dus op dat moment sowieso geen firewall aanpassingen mogen doen?

donderdag 24 november 2005 11:05

Acties:

Dunka

elevator schreef op woensdag 23 november 2005 @ 20:29:
Zomaar een gok - maar kan het zijn dat de users geen administrator zijn en dus op dat moment sowieso geen firewall aanpassingen mogen doen?

Is het niet zo dat domain policy wordt toegepast met administrator rechten in plaats van met de rechten van de gebruiker die op dat moment inlogt?

donderdag 24 november 2005 11:07

Acties:

elevator

Officieel moto fan :)

Als ik het goed had wordt een policy wordt normaal gesproken onder de "SYSTEM" account geapplied welke 'meer dan administrator'-rechten heeft op een PC, maar ik doelde in dit geval op een schijnbaar dynamische wijziging die "Hulp op afstand" wil toepassen

donderdag 24 november 2005 11:19

Acties:

Dunka

Volgens mij worden bij standaard instelling de services die nodig zijn voor hulp op afstand onder het systeem account opgestart.

Je zou dus nog kunnen controleren met behulp van de services console onder welke account deze services opgestart worden.

donderdag 24 november 2005 11:58

Acties:

grimson

domeingrommer

Topicstarter

Bedankt voor alle antwoorden.

Wat betreft de inlog / rechten op de computer;
Aangezien de implementatie nog in een testfase zich bevind is het zo dat ik alles nog uitvoer onder het gebruikersniveau 'administrator'.
Dus op de PC heeft de gebruiker alle rechten.
(los van het feit dat Group Policies inderdaad onder water door 'system' worden toegepast)

Wat betreft de hulp op afstand services;
In principe werkt alles, behalve de 'spraak' functie. Die komt dus met de foutieve melding zoals boven al beschreven.

Detail blijft dat het onder hetzelfde account wél werkt als Windows Firewall lokaal wordt ingesteld met dezelfde parameters.

[ Voor 29% gewijzigd door grimson op 24-11-2005 11:59 ]

Zon opbrengst http://plugwise.grimson.nl/ | Fotomeuk