[2003] Firewall XP Group Policy

Pagina: 1
Acties:

  • BachW
  • Registratie: Juli 2000
  • Laatst online: 27-07-2025

BachW

Tweaker in Noorwegen

Topicstarter
Tweakers,

Probleem
We hebben hier een w2k3 omgeving. Om de gebruikers te ondersteunen gebruiken we WinVNC. Het probleem is echter dat we de computers niet kunnen benaderen. Ik heb helemaal volgens het boekje zowel het programma als de poort aan de firewall toe te voegen via de Group Policy Editor (Link MS Technetniet) maar dit mag niet baten.
Ik heb 1 test pc staan die ik gpupdate /force en opnieuw opstart. Daar wil het niet op werken.

Zoekwerk
Ik heb momenteel veel gezocht maar steeds komt het op het group policy verhaal uit. Ik ben redelijk bekend met het group policy verhaal en de active directory.
Nog iets. Handmatig is het allemaal toe te voegen en dan werkt het ook, maar dat wil ik natuurlijk niet. Anders betekend het dat ik 60 computers langs moet gaan ;)

OPGELOST!
Door de instellingen in de default domain policy te gooien doet hij het wel. Heel raar. Ik ga kijken of dit nog te ondervangen is...

[ Voor 7% gewijzigd door BachW op 26-09-2006 14:33 . Reden: opgelost ]

BOINC stats


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Had je de policy wel op een computer OU ipv op user-ou's toegepast dan? :)

  • WaSteiL
  • Registratie: Juli 2003
  • Laatst online: 09:22
Zoek eens op NETSH. Daarmee kan je via dosprompt opties aanpassen van de firewall. Gooi het in een scriptje en zorg dat het draait als logon script van een computerpolicy.

Beetje omslachtig, maar zo heb ik het maar gedaan. Werkte perfect. Als je meer info nodig hebt na het zoeken hoor ik het wel.

Linkje: http://www.microsoft.com/...fd045f8de79.mspx?mfr=true

[ Voor 19% gewijzigd door WaSteiL op 26-09-2006 19:59 ]


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Maar waarom zou je dat via netsh doen als het via GPO's ook gewoon goed werkt? :P

  • BachW
  • Registratie: Juli 2000
  • Laatst online: 27-07-2025

BachW

Tweaker in Noorwegen

Topicstarter
elevator schreef op dinsdag 26 september 2006 @ 19:46:
Had je de policy wel op een computer OU ipv op user-ou's toegepast dan? :)
Dit kan alleen maar in de computer OU. en tnx wasteil voor de tip!

BOINC stats


  • WaSteiL
  • Registratie: Juli 2003
  • Laatst online: 09:22
elevator schreef op dinsdag 26 september 2006 @ 20:03:
Maar waarom zou je dat via netsh doen als het via GPO's ook gewoon goed werkt? :P
Omdat ik niet op de hoogte was dat het werkte via GPO.. :/
Maar nu ga ik meteen maar even het via GPO doen. :*)

  • WaSteiL
  • Registratie: Juli 2003
  • Laatst online: 09:22
Misschien nog een handige toevoeging: Indien je controleert via netsh of de porten zijn toegevoegd die je hebt ingesteld m.b.v. group policy kan je lang zoeken.


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
netsh>firewall
netsh firewall>show portopening

Poortconfiguratie van profiel Domein:
Poort  Protocol  Modus    Naam
-------------------------------------------------------------------
139    TCP       Inschak  NetBIOS Session Service
445    TCP       Inschak  SMB via TCP
137    UDP       Inschak  NetBIOS-naamgevingsservice
138    UDP       Inschak  NetBIOS Datagram Service

Poortconfiguratie van profiel Standaard:
Poort  Protocol  Modus    Naam
-------------------------------------------------------------------
139    TCP       Inschak  NetBIOS Session Service
445    TCP       Inschak  SMB via TCP
137    UDP       Inschak  NetBIOS-naamgevingsservice
138    UDP       Inschak  NetBIOS Datagram Service


terwijl hij via Configuratiescherm - Firewall wel te zien is.

Afbeeldingslocatie: http://wasteil.demon.nl/GOT/firewall.jpg

Verwijderd

Vraagje:

Waarom zou je windows firewall op je ws geactiveerd willen hebben?

  • WaSteiL
  • Registratie: Juli 2003
  • Laatst online: 09:22
Verwijderd schreef op donderdag 28 september 2006 @ 10:56:
Vraagje:

Waarom zou je windows firewall op je ws geactiveerd willen hebben?
Op zich zou daar geen reden voor zijn als je een goede firewall hebt op je externe lijnen maar voorkomen is beter dan genezen. Indien je omgeving helder is kan je dit uitvoeren. Over het algemeen zal er naar het werkstation niet meer nodig zijn dan ICMP verkeer, File en Printersharing (administratieve shares) en iets voor remote toegang.

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op donderdag 28 september 2006 @ 10:56:
Vraagje:

Waarom zou je windows firewall op je ws geactiveerd willen hebben?
Omdat je bijvoorbeeld daarmee inter-client netbios meuk de nek om kan draaien?
(wordt je netwerk lekker stil van, geen broadcasts meer enzo)
Zodat je clients enkel met servers kunnen communiceren voor filesharing en bij een 0day worm uitbraak niet je complete netwerk platleggen?
(stel servers verdedigen is makkelijker dan alle 5000+ werkstations in je netwerk toch?)


Voorbeeldje:
Ik stel in dat clients geen NetBT mogen gebruiken op hun werkplek-IP range, enkel naar fileservers /appservers en domain controllers (ivm GPO's), en enkel management stations mogen naar werkstations file & printersharing gebruiken (admin$).

[ Voor 24% gewijzigd door alt-92 op 28-09-2006 13:01 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1