none
gpo non disabilità i firewall client RRS feed

  • Domanda

  • premessa: gpo  da windows server 2003 r2 32bit (service pack 2) - client  win XP sp3 32 bit

    Ho creato una policy di prova attribuita ad un solo gruppo a cui a sua volta appartiene un solo utente, se effettuo modifiche di qualsiasi genere che vanno dal blocco del desktop, alla rimozione di alcune funzionalità ed altro tutto funziona, non riesco invece a fermare il firewall: MODELLI AMMINISTRATIVI-  RETE -CONNESSIONI DI RETE - WINDOWS FIREWALL - PROFILO DI DOMINIO/STANDARD -> WINDOWS FIREWALL, PROTEGGI TUTTE LE RETI : DISABILITATO,   anche eseguento dal client gpupdate /force il firewall continua ad essere attivo.

    p.s.  la stessa cosa con windows 7, questa policy pare venga completamente ignorata, esiste un bug di cui non sono a conoscenza?

     

    in attesa di risposte ringrazio anticipatamente.

    giovedì 21 aprile 2011 14:01

Risposte

  • perchè le policy non si applicano a "gruppi" ma a container che a loro volta contengono utenti o computer. l'unica cosa che è possibile fare con i gruppi è agire sulle ACL dei group policy objects per dare o negare il permesso di lettura su quel gpo.

    nel tuo primo post hai scritto:

    "Ho creato una policy di prova attribuita ad un solo gruppo a cui a sua volta appartiene un solo utente,"

    e qui bisognerebbe verificare come, secondo te, avresti realizzato questa cosa.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 22 aprile 2011 06:03
    Moderatore

Tutte le risposte

  • Ciao,

    la policy va creata per i computer e non per gli utenti.

    Quindi ti consiglio di inserire il PC in questione nel gruppo e provare la policy creata.

     

    Fammi sapere

    giovedì 21 aprile 2011 14:48
  • ciao fabio grazie intanto per la risposta

    i modelli amministrativi che vado a modificare appartengono alla sezione "configurazione computer" , a livello utente la configurazione del firewall non è presente.

    Detto ciò ho effettuato le stesse modifiche all'oggetto default domain policy (MODELLI AMMINISTRATIVI-  RETE -CONNESSIONI DI RETE - WINDOWS FIREWALL - PROFILO DI DOMINIO/STANDARD -> WINDOWS FIREWALL, PROTEGGI TUTTE LE RETI : DISABILITATO) , in questo caso il firewall client viene modificato e disabilitato, ma non ne ho capito il perchè.

    giovedì 21 aprile 2011 15:13
  • perchè le policy non si applicano a "gruppi" ma a container che a loro volta contengono utenti o computer. l'unica cosa che è possibile fare con i gruppi è agire sulle ACL dei group policy objects per dare o negare il permesso di lettura su quel gpo.

    nel tuo primo post hai scritto:

    "Ho creato una policy di prova attribuita ad un solo gruppo a cui a sua volta appartiene un solo utente,"

    e qui bisognerebbe verificare come, secondo te, avresti realizzato questa cosa.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 22 aprile 2011 06:03
    Moderatore
  • Ciao, 

    figurati per la risposta, da cosa ho notato non sono stato ancora utile.

    Nella descrizione della GPO in questione ci sono le seguenti caratteristiche:

    • Se abilitato (windows firewall sarà abilitato e bloccato nella scelta di disattivarlo tranne per le eccezioni) annulla la scelta di una successiva GPO che proibisce l'uso di firewall per connessione internet tramite DNS
    • Se disattivato (windows firewall sarà disabilitato e bloccato nella scelta di attivarlo) non viene eseguito ed è l'unica regola (GPO) che disattiva il firewall.

    Spero di averti aiutato! 

    Saluti

    Fabio

    venerdì 22 aprile 2011 06:11