Teutone Geschrieben 30. Januar 2015 Geschrieben 30. Januar 2015 (bearbeitet) Hallo liebe Leute, ich versuche seit Stunden meine Firewall GPO etwas umzustricken - ich glaube mittlerweile fehlt mir die Geduld. Ist - Zustand: Derzeit habe ich eine GPO, die auf alle Computer die Windows-Firewall für das Domänenprofil deaktiviert. Diese GPO funktioniert wunderbar. Die Sicherheitsfilter besagen, wirke auf alle Authentifizierten Benutzer. Leider schränkt diese GPO aber auch die Domänenadministratoren ein. Auch diese dürfen keine Änderungen an der Firewall vornehmen - GPO sei dank. Soll - Zustand: Genau diese oben beschriebene Thematik soll sich ändern. Domänenadministratoren sollen von dieser GPO nicht tangiert werden. Domänenadministratoren sollen Änderungen an der Windows-Firewall vornehmen können. Bisherige Maßnahmen: 1.) In der GPO, auf dem Reiter "Delegierung" den Domänenadmins das Recht "GPO übernehmen" verweigert -> kein Erfolg 2.) Erstellung einer neuen GPO "FirewallAdmin". Dort habe ich explizit eingestellt, dass das Domänenprofil "nicht konfiguriert" wird. Die Verarbeitungsreihenfolge wurde dann so abgeändert, dass zuerst die GPO-Einschränkung erfolgt und dann meine GPO "FirewallAdmin", die es den Domänenadministratoren erlauben soll die Firewalleinstellungen zu verändern. Diese Reihenfolge habe ich auch schon umgekehrt - leider ohne Erfolg. Die Sicherheitsfilter besagen, wirke auf Domänenadministratoren. Was mache ich falsch? Ich sage vorab schon einmal vielen Dank für eure Hilfestellung. Gruß Teutone Bearbeitet 30. Januar 2015 von Teutone Zitieren
Teutone Geschrieben 30. Januar 2015 Autor Geschrieben 30. Januar 2015 (bearbeitet) Hallo, ein paar Bilder zu der Situation. Ist-Zustand Soll-Zustand Bearbeitet 30. Januar 2015 von Teutone Zitieren
Ozelott Geschrieben 30. Januar 2015 Geschrieben 30. Januar 2015 Nimm mal auf deiner, im Text, ersten GPO die "Authentifizieren Benutzer" weg. Denn Administratoren authentifizieren sich ja schließlich auch und füge die "Domänen Benutzer" hinzu und erlaube denen die GPO zu übernehmen. Das klappt zumindest bei GPOs für Terminal Server. Zitieren
Teutone Geschrieben 31. Januar 2015 Autor Geschrieben 31. Januar 2015 Hi Ozelott, ach du heilige ..... . Ich werde das gleich morgen einmal in meiner Testumgebung ausprobieren. Manchmal braucht man doch mal einen gesunden Abstand von den Dingen. Ich werde berichten . Viele Grüße Teutone Zitieren
Teutone Geschrieben 1. Februar 2015 Autor Geschrieben 1. Februar 2015 Hallo Ozelott, natürlich war es genau diese kleine Einstellung. Ich sage nur soviel - Es passiert einem doch von Zeit zu Zeit, dass man an der Betriebsblindheit leidet. In diesem Sinne nochmals vielen Dank. Viele Grüße Teutone Zitieren
Ozelott Geschrieben 1. Februar 2015 Geschrieben 1. Februar 2015 Japp, kenne ich. Mir ging es halt damals bei den Terminalserver GPOs so. So dann noch gutes gelingen. Zitieren
da_doni Geschrieben 2. Februar 2015 Geschrieben 2. Februar 2015 Die Firewallkonfiguration ist eine Computerrichtlinie, hat also auf die Gruppe "Domänen-Benutzer", die nur Benutzer enthält, keine Auswirkungen. Die Firewall müsste nun also von allen Benutzern mit lokalen Adminrechten auf den PCs bearbeitbar sein. Da die Gruppe "Domänen-Admins" standardmäßig in die lokale Administratorengruppe aufgenommen wird, klappt das auch mit dem Bearbeiten der Richtlinie als Domänen-Admin. Von daher hast du mit deiner Richtlinie nichts anderes gemacht, also die Einstellung der Gruppenrichtlinie außer Kraft zu setzen - daher dürfen nun alle lokalen Admins auf den PCs die Firewall konfigurieren... Im Grunde genommen solltest du also gar keine Richtlinie brauchen, du könntest die Richtlinie daher genauso gut deaktivieren.... Zitieren
Teutone Geschrieben 3. Februar 2015 Autor Geschrieben 3. Februar 2015 Die Firewallkonfiguration ist eine Computerrichtlinie, hat also auf die Gruppe "Domänen-Benutzer", die nur Benutzer enthält, keine Auswirkungen. Die Firewall müsste nun also von allen Benutzern mit lokalen Adminrechten auf den PCs bearbeitbar sein. Da die Gruppe "Domänen-Admins" standardmäßig in die lokale Administratorengruppe aufgenommen wird, klappt das auch mit dem Bearbeiten der Richtlinie als Domänen-Admin. Von daher hast du mit deiner Richtlinie nichts anderes gemacht, also die Einstellung der Gruppenrichtlinie außer Kraft zu setzen - daher dürfen nun alle lokalen Admins auf den PCs die Firewall konfigurieren... Im Grunde genommen solltest du also gar keine Richtlinie brauchen, du könntest die Richtlinie daher genauso gut deaktivieren.... Hi da_doni. dahingehend hast du vollkommen recht. Ich habe mir das Szenario nochmals genauer in meiner Testumgebung angeschaut. Sobald ich die Authentifizierten Benutzer aus der GPO entferne und die Domänenadmins hinzufüge, habe ich das von dir beschriebene Verhalten - soweit absolut für mich nachvollziehbar. Aber wie kann ich dann meinem Ziel näher kommen? Mein Wunsch wäre es, dass nur Domänenadministratoren die Firewalleinstellungen bearbeiten können. Alle anderen User sollen die Firewallkonfiguration per GPO zentral erhalten und nicht ändern können. Was kann ich nun noch tun? Vielen Dank vorab. Gruß Teutone Zitieren
Ozelott Geschrieben 3. Februar 2015 Geschrieben 3. Februar 2015 Hm schwierig. Was noch interessant wäre ist, wenn der Admin Einstellungen vornimmt. Bleiben die dann erhalten oder werden die von der GPO überschrieben? Ich wüsste jetzt AdHoc keine Lösung, wenn die Benutzer lokale Admin sind. Außer man kann ihnen das öffnen der Firewall verbieten. Zitieren
da_doni Geschrieben 8. Februar 2015 Geschrieben 8. Februar 2015 Wenn du den Usern die lokalen Adminrechte wegnehmen kannst, dann hast du dein Ziel erreicht... In der Standardeinstellung haben Domänen-Admins das Recht zum Bearbeiten der Gruppenrichtlinien. Von daher würde ich eine Test-Gruppenrichtlinie anlegen, in der die Domänen-Admins eine Firewallregel eintragen können und als Sicherheitsfilter einen Test-PC eintragen. Dann kannst du eine Regel ändern, an dem PC gpupdate durchführen und wenn alles nach dem Testen klappt wie erwartet, trägst du die Regel in die Haupt-GPO für die Firewall (also für alle PCs) ein. @Ozelott Die GPO hat Vorrang. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.