none
Powershell GPO Allow RDP RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Einen schönen Abend,

    ich bin grade dabei ein bisschen mit Powershell und GPOs zu testen. Ich würde gerne per Script RDP erlauben und zusätzlich dann auch die Ports frei geben.

    Um rauszufinden wie die Registrywerte sind wenn die GPO erlaubt ist habe ich mit Registry.Pol Reader die Registry.pol analysiert.

    Unter dem Reiter Einstellungen der GPO ist soweit auch alles in Ordnung, dort werden die Werte korrekt angezeigt.

    Diese Werte habe ich auch so in das Script übernommen.

    New-GPO -Name "RDP Erlauben" -Server DC01 -Domain jacq.local | Set-GPRegistryValue -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" -ValueName fDenyTSConnections -Type DWord -Value 00000000 | Set-GPRegistryValue -Key "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall" -ValueName PolicyVersion -Type DWord -Value 534 | Set-GPRegistryValue -Key "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRule" -ValueName "{C766C637-422B-47BA-BF89-EB72DA4966D8}" -Type String -Value 'v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=3389|Name=RDP erlauben UDP|' | Set-GPRegistryValue -Key "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRule" -ValueName "{AA29307F-EA54-4A3C-9028-36CD97B98FC9}" -Type String -Value 'v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=3389|Name=RDP erlauben TCP|'

    Die Richtiline "Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen" wurde auch erfolgreich Aktiviert nur leider werden die Firewalleinstellungen nicht Korrekt in dem Reiter EInstellungen angezigt. Die Werte sind aber erfolgreich in der Registry zu finden nach einem gpupdate und auch hört der Rechner plötzlich auf Port 3389.

    Überprüft mit netstat -an.

    Hat wer ne Idee woran es liegen könnte? Funktionieren tuts zwar scheinbar auch so, allerdings wenn jemand fremdes in die GPO guckt ist dies ja doch verwirrend. Über Vorschläge bin ich sehr dankbar.

    Mit freundlichen Grüßen

    Stefan Redlin


    Sonntag, 16. November 2014 01:15
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    Am 16.11.2014 um 02:15 schrieb "Stefan Redlin":

    nur leider werden die Firewalleinstellungen nicht Korrekt in dem Reiter EInstellungen angezigt

    Die Powershell definiert "nur" Registry und GPP Registry. Die Firewall setzt "Registry". Soweit so gut ...

    Aber der GPEditor verwendet für die Firewall zusätzlich zur Registry, was eigentlich nur ADM Templates sind, eine eigene UI um die Settings der Erweiterten Firewall zu konfigurieren.

    Im ersten Teil des Attributes steht die Aktion für den Client
    -> {35378EAC-683F-11D2-A89A-00C04FBBCFA2} (Registry)
    Der Client weiss nun: Ah, ich nutze die DLL zum import eines registry.pol Files, checked.

    Im 2ten Teil des Attributes steht die Aktion, die der GPEditor benötigt um die Einstellungen anzuzeigen.

    Wenn es "nur" ADM Template settings wären, sähe es so im Attribut "gPCMachineExtensionsName" aus:
    [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F72-3407-48AE-BA88-E8213C6761F1}]

    Da es aber Einstellungen der Erweiterten Firewall sind, ist es diese:
    [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{B05566AC-FE9C-4368-BE01-7A4CBB6CBA11}]

    Der Editor/Report kann jetzt in deinem Fall die Settings nicht richtig interpretieren, der er es mit dem falschen Werkzeug versucht.
    Dem Client ist es schnuppe, denn der weiss ja es ist eine registry.pol die er importiert.

    Du müsstest das Attribut ebenfalls schreiben, damit es auch im Report/Editor richtig aussieht und editierbar ist.
    Das kann die Powershell auch, aber nicht mit dem cmdlet, das du verwendest ;-)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 18. November 2014 20:47
    |