Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Pull GPO abschalten

3 views
Skip to first unread message

Uwe Ruhm

unread,
May 12, 2010, 3:18:48 AM5/12/10
to
Hallo,

es handelt sich um eine kleine W2k3-Domain mit XP und Windows 7 Clients.

Ist es m�glich die Abholung der GPO auf den Clients zu
deaktivieren/�berspringen und die lokale GPO zu nutzen bzw. manuell zu
verteilen.

Danke!

Uwe

Mark Heitbrink [MVP]

unread,
May 12, 2010, 5:33:21 AM5/12/10
to
Hi,

Am 12.05.2010 09:18, schrieb Uwe Ruhm:
> Ist es m�glich die Abholung der GPO auf den Clients zu
> deaktivieren/�berspringen und die lokale GPO zu nutzen

Sie wird genutzt. Immer. Nur bei konkurrierenden Einstellungen
gewinnt die der Dom�ne. Ist also in der Dom�ne nichts konfiguriert,
ist immer die Lokale die gewinnende.

> bzw. manuell zu verteilen.

Das ist Bl�dsinn. Ich laufe doch nicht zu 25 Computern,
wen ich das an einer Stelle zentral erledigen kann.

Nenn mir einen Grund, warum du das m�chtest.
�bergewicht und deswegen rumrennen? Das ist keine Grund.

Tsch�
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Winfried Sonntag [MVP]

unread,
May 12, 2010, 5:40:34 AM5/12/10
to
Uwe Ruhm schrieb:

M�glich ist vieles. Dein Vorhaben ist sehr ungew�hnlich. Kannst Du das
ausf�hrlich begr�nden? Evtl. gibts ja bessere L�sungen. Was willst Du
erreichen?

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Uwe Ruhm

unread,
May 13, 2010, 5:17:41 AM5/13/10
to
Hallo,

"Mark Heitbrink [MVP]" <spam...@gruppenrichtlinien.de> schrieb im
Newsbeitrag news:ee2YrYb8...@TK2MSFTNGP04.phx.gbl...


> Das ist Bl�dsinn. Ich laufe doch nicht zu 25 Computern,
> wen ich das an einer Stelle zentral erledigen kann.

wie ich schrieb handelt es sich um eine (sehr) kleine Domain mit < 10
Clients, welche (mit ein paar Ausnahmen) auch r�umlich nicht getrennt sind.

> Nenn mir einen Grund, warum du das m�chtest.
> �bergewicht und deswegen rumrennen? Das ist keine Grund.

Der Grund ist, dass wir auf der Firewall die Ports oberhalb von 1023 nicht
f�r RPC ge�ffnet haben.
Und anstatt den "Limited RPC" - Hack einzusetzen k�nnte man ja auch gleich
den nicht ben�tigten "GPO Pull" abschalten(falls m�glich).

Oder gibt es noch andere Geschichten zwischen DC und Clients die �ber RPC
laufen und unbedingt ben�tigt werden?

Uwe

Mark Heitbrink [MVP]

unread,
May 16, 2010, 2:56:40 PM5/16/10
to
Hi,

Am 13.05.2010 11:17, schrieb Uwe Ruhm:
> wie ich schrieb handelt es sich um eine (sehr) kleine Domain mit < 10
> Clients, welche (mit ein paar Ausnahmen) auch r�umlich nicht getrennt sind.

Immer noch zuviel Laufarbeit.

> Der Grund ist, dass wir auf der Firewall die Ports oberhalb von 1023
> nicht f�r RPC ge�ffnet haben.

Soso. Weniger als 10 PCs aber eine Panik Konfig in der Firewall.
Wenn schon PanikKonfig, dann verwende eine Firewall die auf Protokoll
Ebene filtert und nicht auf Ports.

> Und anstatt den "Limited RPC" - Hack einzusetzen k�nnte man ja auch
> gleich den nicht ben�tigten "GPO Pull" abschalten(falls m�glich).
> Oder gibt es noch andere Geschichten zwischen DC und Clients die �ber
> RPC laufen und unbedingt ben�tigt werden?

Keine Ahnung es gibt da wohl keine Liste, denn kein Mensch kennt
ALLE! Programme der Welt, die da im Netzwerk aktvi sein k�nnen,
aber warte einfach ab, was nicht funktioniert.

Ich finde aber allein schon "keine Gruppenrichtlinien" als alleiniges
KO Kritierium f�r ein ausreichendes Argument.

Was ist mit RSOP von zentraller Stelle?
Was ist mit div. Tools wie DocuSnap?
Was ist mit Monitoring, Logging etc?
die machen alle RPC.

Uwe Ruhm

unread,
May 19, 2010, 3:17:12 AM5/19/10
to
Hallo,

"Mark Heitbrink [MVP]" <spam...@gruppenrichtlinien.de> schrieb im

Newsbeitrag news:#KXNFmS9...@TK2MSFTNGP05.phx.gbl...
> Immer noch zuviel Laufarbeit.

Etwas Bewegung hat in der Branche noch niemand geschadet.

> Soso. Weniger als 10 PCs aber eine Panik Konfig in der Firewall.
> Wenn schon PanikKonfig, dann verwende eine Firewall die auf Protokoll
> Ebene filtert und nicht auf Ports.

Ich habe die Window Firewall genutzt, da diese f�r unsere Zwecke eigentlich
v�llig ausreicht.
Und wieso Panik, wenn man das lokale Netzwerk sch�tzen will? Verstehe ich
nicht!

> Was ist mit RSOP von zentraller Stelle?
> Was ist mit div. Tools wie DocuSnap?
> Was ist mit Monitoring, Logging etc?
> die machen alle RPC.

Sicher, ich kann aber auch lokale Logdateien anlegen und diese dann aus der
"Ferne" anschauen. Den Rest ben�tige ich nicht!

Um noch einmal auf den Grund meiner Anfrage zu kommen.

Ist eine lokale Abschaltung der GPO m�glich?
Wenn ja - wie?
Wenn nein - warum nicht?

Danke!

Uwe

Mark Heitbrink [MVP]

unread,
May 19, 2010, 4:36:59 PM5/19/10
to
Hi,

Am 19.05.2010 09:17, schrieb Uwe Ruhm:
> Und wieso Panik, wenn man das lokale Netzwerk sch�tzen will?
> Verstehe ich nicht!

Weil es dich nicht sch�tzt. Dein System ist nicht "angreifbarer"
nur weil es �ber highports kommuniziert.
Du kannst keine T�ren einschlagen, hinter denen keine R�ume sind.
Die Ports, die immer angegriffen werden hast du ja freiwillig ge�ffnet,
weil du ohne sie nicht arbeiten kannst. Die oberhalb von 1024
verwendeten sind nur �rgerlich, weil sie "dynamisch" sind und
bei einer Kommunikation �ber Router hinweg nicht ordentlich zu regeln
sind. Aber in einem LAN macht das NULL Sinn, ob der Dienst nun �ber
2 Ports kommuniziert oder 2 Ports, die er dynamisch aushandelt.

> Ist eine lokale Abschaltung der GPO m�glich?

Ja sicher.

> Wenn ja - wie?

dll de-registrieren, oder l�schen, du bist der Admin.

> Wenn nein - warum nicht?

Weils keinen Sinn macht.

0 new messages