Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Vista Business zieht ueber GPOs Firewall-Ausnahmen doppelt und funktionieren nicht

0 views
Skip to first unread message

Matthias Fick

unread,
Sep 18, 2007, 11:37:52 AM9/18/07
to
Hallo,

ich habe nun mein erstes Vista Business Notebook in unsere W2k3R2
Domaene gehoben und schon gehts mit den Problemen los.
Mit den alten XP-Clients funzt alles ohne Probleme.

Ich habe einige Firewall-Ausnahmen in den GPOs definiert,
z.B. Datei- und Druckerfreigabe, Remotedesktop, diverse TCP-Ports,
usw.

Bei allen mittels GPO definierten Firewall-Ausnahmen, die auch
standardmaessig lokal vorhanden sind, habe ich die Eintraege doppelt
drin.

Z.B. ist die "Datei- und Druckerfreigabe" einmal ohne Haken (als
lokale Ausnahme) und einmal mit Haken (als GPO-Ausnahme) vorhanden.

Aber der Eintrag der GPO-Ausnahme mit Haken hat keine Auswirkung auf
die Firewall.
Ich kann den PC trotzdem nicht pingen.
Erst wenn ich den Haken bei der lokalen Ausnahme "Datei- und
Druckerfreigabe" setze ist ein ping moeglich.

Kann mit bitte jemand sagen, wo ich was drehen muss, damit Vista die
GPOs korrekt zieht?

Danke.


Gruss aus Franken
Matthias

--
Antworten bitte in die NG.
eMails bitte an
matthias<DOT>fick<AT>web<DOT>de

Frank Fester

unread,
Sep 18, 2007, 3:08:08 PM9/18/07
to
"Matthias Fick" <matthias....@web.de> schrieb im Newsbeitrag
news:a6sve3d9dbqdqhucg...@4ax.com...

aus dem Bauch heraus :)

"Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie"
--> Verarbeitung lokaler Gruppenrichtlinienobjekte deaktivieren;
Einstellung: Aktiviert

ich hab keine Ahnung, ob es hilft. Evtl. solltest du die Erklärung zu der
GPO durchlesen.

Gruß
Frank


Mark Heitbrink [MVP]

unread,
Sep 19, 2007, 3:21:27 AM9/19/07
to
Hi,

Matthias Fick schrieb:


> Ich habe einige Firewall-Ausnahmen in den GPOs definiert,
> z.B. Datei- und Druckerfreigabe, Remotedesktop, diverse TCP-Ports,
> usw.
> Bei allen mittels GPO definierten Firewall-Ausnahmen, die auch
> standardmaessig lokal vorhanden sind, habe ich die Eintraege doppelt
> drin.

Das kann sich auch um ein Ansichtsproblem in der GUI handeln.

Beispiel:
Aktivere "Remoteunterstützung" per GPO, es funktioniert, aber die
CheckBox in den Systemeigenschaften, wo man es per Hand aktivieren würde
ist nicht aktiviert oder ausgegraut. Trotzdem funktioniert der
Remotezugriff. In dem Moment ist keine funktionelle Interaktion
zwischen Registry Eintrag und GUI.

> Z.B. ist die "Datei- und Druckerfreigabe" einmal ohne Haken (als
> lokale Ausnahme) und einmal mit Haken (als GPO-Ausnahme) vorhanden.
> Aber der Eintrag der GPO-Ausnahme mit Haken hat keine Auswirkung auf
> die Firewall. Ich kann den PC trotzdem nicht pingen.
> Erst wenn ich den Haken bei der lokalen Ausnahme "Datei- und
> Druckerfreigabe" setze ist ein ping moeglich.

Starte ein RSOP.msc und schau ob die Einstellungen überhaupt aus der
Richtlinie ankommen.
Lies den Thread direkt vor deinem "Firewall per gpo ausschalten", ich habe
gestern noch ein paar Dinge rumprobiert, kann aber noch keine gültige
Regel aufstellen, warum es bei Frank und Heiko klappt, bei mir aber
zB nicht so wie gedacht.

Ich kann dir nur empfehlen: Verwende für Vista die neue CSE, also die
Konfiguration der Firewall nicht über die ADMs, sondern über

Computerkonfiguration\Windows Einstellungen\Sicherheitseinstellungen
-> Windows Firewall mit erweiterter Sicherheit

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Daniel Melanchthon [MSFT]

unread,
Sep 18, 2007, 1:12:05 PM9/18/07
to
Matthias Fick wrote:
> Ich habe einige Firewall-Ausnahmen in den GPOs definiert,

Du solltest die Firewall-Einstellungen von den GPOs von Windows XP
nicht auf die Windows Vista-Rechner anwenden lassen. Erstell einfach
zwei GPOs mit entsprechenden WMI-Filtern, so dass sie nur für das
jeweilige OS gelten. Die Firewall-Regeln für Vista solltest Du dann
von einem Vista-Client aus mit gpedit.msc (ist da mitgeliefert)
editieren. Dort findest Du dann eine eigene GUI für die Advanced
Firewall.

Viele Grüße!
--
.:Daniel Melanchthon:.
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!

Matthias Fick

unread,
Sep 19, 2007, 10:54:57 AM9/19/07
to
"Mark Heitbrink [MVP]" <spam...@gruppenrichtlinien.de> schrieb am
Wed, 19 Sep 2007 09:21:27 +0200 folgendes:

Hallo,

>Ich kann dir nur empfehlen: Verwende für Vista die neue CSE, also die
>Konfiguration der Firewall nicht über die ADMs, sondern über
>
>Computerkonfiguration\Windows Einstellungen\Sicherheitseinstellungen
>-> Windows Firewall mit erweiterter Sicherheit

Was ist CSE?

Soll man alle GPOs für Vista nochmal vom Vista-Client aus
konfigurieren und somit doppelt machen oder betrifft dies nur
Einstellungen der Firewall?

Sind die restlichen vorhandenen GPOs für 2000/XP/2003 (außer Firewall)
kompatibel zu Vista?

Norbert Fehlauer [MVP]

unread,
Sep 19, 2007, 1:47:27 PM9/19/07
to
Matthias Fick wrote:
Hi,

> Was ist CSE?

Abkürzung für Client Side Extension.
http://www.gruppenrichtlinien.de/Grundlagen/Client_Side_Extensions.htm

Bye
Norbert

PS: Crosspostings bitte mit Follow Up.
--
Dilbert's words of wisdom #53: I'd explain it to you, but your brain
would explode.

Thomas D.

unread,
Sep 19, 2007, 5:53:51 PM9/19/07
to
Matthias Fick schrieb:

> Soll man alle GPOs für Vista nochmal vom Vista-Client aus
> konfigurieren und somit doppelt machen oder betrifft dies nur
> Einstellungen der Firewall?

Zu einem Best Practise gehört es, wie Daniel dir bereits erkärt hat, für
jedes Betriebssystem (zumindest 2003/XP und Vista/2008) eigene
Gruppenrichtlinien zu erstellen, da viele Dinge unter Vista/2008 anders als
in XP/2003 geregelt werden (siehe z.B. die erweiterte Firewall).


> Sind die restlichen vorhandenen GPOs für 2000/XP/2003 (außer Firewall)
> kompatibel zu Vista?

In den Eigenschaften der jeweiligen GPO siehst du, für welches System sie
gilt. Allerdings hast du hier ein Problem: Die XP/2003 GPO-Verwaltung kennt
kein Vista/2008, d.h. du wirst hier weder Vista/2008-spezifischen
Einstellungen finden, noch Informationen darüber, welche auch unter Vista
laufen :)

Daher: BP, eine Richtlinie nur für XP/2003 und eine nur für Vista/2008.
Letztere solltest du mit einem Vista/2008-Client verwalten, andernfalls
siehst du keine Vista/2008-spezifischen Einstellungen.

Siehe dazu:
http://technet2.microsoft.com/WindowsVista/en/library/5ae8da2a-878e-48db-a3c1-4be6ac7cf7631033.mspx?mfr=true

X'Posted to: microsoft.public.de.german.windows.gruppenrichtlinien,microsoft.public.de.windows.vista.gruppenrichtlinien
--
Grüße,
Thomas

Mark Heitbrink [MVP]

unread,
Sep 20, 2007, 3:56:38 AM9/20/07
to
Moin,

Thomas D. schrieb:


> Daher: BP, eine Richtlinie nur für XP/2003 und eine nur für Vista/2008.

Zusätzlich:
Richtlinien (egal für welches System) _immer_ mit dem aktuellsten
Client editieren.

Mark Heitbrink [MVP]

unread,
Sep 20, 2007, 4:00:21 AM9/20/07
to
Hi,

Matthias Fick schrieb:
> Was ist CSE?

Client Side Extension.

> Soll man alle GPOs für Vista nochmal vom Vista-Client aus
> konfigurieren und somit doppelt machen

Du machst es nocht doppelt, denn dir werden von der "neuen"
GPMC nur die speziell für Vista zusätzlichen Möglichkeiten
eingeblendet.

> oder betrifft dies nurEinstellungen der Firewall?

Hier ist es zufällig so, daß es jetzt eine neu Stelle zur Konfiguratnion
gibt, das es sie gibt ist alleine schon der Grund sie zu verwenden.

> Sind die restlichen vorhandenen GPOs für 2000/XP/2003 (außer Firewall)
> kompatibel zu Vista?

Pauschal? Weder Ja noch Nein.
Aber in Vista kannst du alle abwärtskompatiblen Einstellungen vornehmen,
wohingegen du unter XP/2003 keine "Aufwärtskompatiblen" findest.

Nils Kaczenski [MVP]

unread,
Sep 20, 2007, 3:44:01 PM9/20/07
to
Moin,

Daniel Melanchthon [MSFT] schrieb:


> Du solltest die Firewall-Einstellungen von den GPOs von Windows XP
> nicht auf die Windows Vista-Rechner anwenden lassen.

hm. Erfährt man das irgendwie außerhalb einer Newsgroup?

> Erstell einfach
> zwei GPOs mit entsprechenden WMI-Filtern

"Einfach" und "WMI" geht nicht so recht zusammen. Nicht, dass ich so
einen Filter nicht hinbekäme, aber für Otto Normaladmin ist das nicht
eben eine naheliegende Lösung.

Wieder etwas für die "das hätte man aber schöner machen können"-Liste.


Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski

Mark Heitbrink [MVP]

unread,
Sep 21, 2007, 3:41:15 AM9/21/07
to
HiHo,

Nils Kaczenski [MVP] schrieb:


>> Du solltest die Firewall-Einstellungen von den GPOs von Windows XP
>> nicht auf die Windows Vista-Rechner anwenden lassen.
> hm. Erfährt man das irgendwie außerhalb einer Newsgroup?

Muss man ja nicht, ist ne Standard Regel.
Neuer GPEditor für neue Clients mit den neuen Featuren verwenden.

Ich denke das "sollte" ist eher an dem Thema aufgehangen, daß die
ADM Templates nicht alle Funktionen unterstützen. Man schränkt sich
halt selber ein in seinen Möglichkeiten, aber es ist sicher kein
"sollte" weil "geht nicht".

>> Erstell einfach zwei GPOs mit entsprechenden WMI-Filtern
> "Einfach" und "WMI" geht nicht so recht zusammen. Nicht, dass ich so
> einen Filter nicht hinbekäme, aber für Otto Normaladmin ist das nicht
> eben eine naheliegende Lösung.

Najut, dann eben: 2 OUs :-)

> Wieder etwas für die "das hätte man aber schöner machen können"-Liste.

Ei verbübsch, die ist schon voll, watt nu? ;-)

Message has been deleted
0 new messages