none
グループポリシーでのWindowsファイアウォールの制御 RRS feed

  • 質問

  • Windows2003Server R2 SP2でADを管理しています。

    グループポリシーにて、ドメインに参加している全クライアントPCのWindowsファイアウォールへ5個のプログラムを例外へ追加したいと考えています。現状はグループポリシーでWindowsファイアウォールの制御は行っておらず、各クライアントごとに任意に追加等を行っている環境です。

    やりたいこととしては以下の内容となります。

    ------------------------------

    ・現状の各クライアントに設定されているWindowsファイアウォールの例外は現状維持する

    ・既存のWindowsファイアウォールの例外へ新規にプログラムを追加する

    ・各クライアント側でのWindowsファイアウォール操作は許可する(各クライアントのドメインユーザはローカルに対し管理者権限を持っています)

    ------------------------------

     

    下記の2項目をグループポリシーへ設定することで可能と考えています。

    ------------------------------

    コンピュータポリシー
    コンピュータの構成
    管理用テンプレート
    ネットワーク接続
    Windowsファイアウォール
    ドメインプロファイル
    -Windowsファイアウォール:プログラムの例外を定義する → 有効へ変更
    →追加したいプログラムを追加設定
    -Windows ファイアウォール: ローカル プログラムの例外を許可する → 有効へ変更

    ------------------------------

    実際にテストして確認すべきなのですが、環境的に難しい為、こちらにご記載させていただきました。

    誤認識またはその他懸念事項等ありましたら、ご教授いただきたいです。

    既に登録されている例外プログラムへの影響を懸念しています。

    よろしくお願い致します。
    • 移動 三沢健二Moderator 2010年7月5日 5:21 AD カテゴリが適切と判断したため (移動元:Windows Server 2003 全般)
    2010年6月30日 3:11

回答

  • 丁稚 さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    私の環境(DC=Win2003R2SP2、クライアント=XPSP2)で試した限りでは、想定されている設定内容で問題なさそうでした。

    記載されたグループポリシーの作成・適用後に、クライアント上でファイアウォールの例外設定を確認してみますと、グループポリシーで定義された例外プログラムについてはグレーアウトし設定変更できませんが、その他の設定についてはクライアント側で設定可能な状態でした。
    (ポリシー適用前に設定していた例外プログラムの設定も有効なままです)


    補足:
    「Windows ファイアウォール: ローカル プログラムの例外を許可する」 が未構成もしくは無効の場合には、クライアント側で例外プログラムの設定は変更できませんでした。
    (未構成の場合は 「Windowsファイアウォール:プログラムの例外を定義する」 の設定内容により結果が変わります)


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    追記:内容的に AD カテゴリの方が適切と判断いたしましたので、勝手ながらカテゴリを移動させていただきました。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年7月14日 9:28
    2010年7月5日 5:09
    モデレータ

すべての返信

  • 丁稚 さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    私の環境(DC=Win2003R2SP2、クライアント=XPSP2)で試した限りでは、想定されている設定内容で問題なさそうでした。

    記載されたグループポリシーの作成・適用後に、クライアント上でファイアウォールの例外設定を確認してみますと、グループポリシーで定義された例外プログラムについてはグレーアウトし設定変更できませんが、その他の設定についてはクライアント側で設定可能な状態でした。
    (ポリシー適用前に設定していた例外プログラムの設定も有効なままです)


    補足:
    「Windows ファイアウォール: ローカル プログラムの例外を許可する」 が未構成もしくは無効の場合には、クライアント側で例外プログラムの設定は変更できませんでした。
    (未構成の場合は 「Windowsファイアウォール:プログラムの例外を定義する」 の設定内容により結果が変わります)


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    追記:内容的に AD カテゴリの方が適切と判断いたしましたので、勝手ながらカテゴリを移動させていただきました。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年7月14日 9:28
    2010年7月5日 5:09
    モデレータ
  • 丁稚 さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    丁稚 さんがこちらの質問を投稿されてから少し経ちましたが、
    弊社の三沢健二の回答はご確認いただけましたでしょうか?

    今回、1つの参考情報として、弊社の三沢の回答を役立てていただけるのではないかと思いましたので、
    勝手ながら、ひとまず私の方で [回答としてマーク] のチェックを付けさせていただきました。

    また何か困ったことがありましたら、ぜひ TechNet フォーラムをご利用ください。
    今後とも、よろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2010年7月14日 9:31
  • ご連絡が遅れてしまいまして申し訳ございません。

    三沢様の記載、確認しております。ご検証ありがとうございました。

    ですが、実環境でのテストをまだ行えておりません。

    テスト実施後に結果を記載したいと思います。

     

     

    2010年8月26日 1:38