none
群組原則管理遠端主機防火牆的疑問 RRS feed

  • 問題

  • 小弟最近架設了一個AD測試環境.並希望以群組則控制登入網域的WINDOWS XP防火牆測定.這些Client端主機都是使用domain user的權限登入.預設防火牆啟動.使用者無法自行更改防火牆的設定

    之後我利用群組原則設定以下規則

    1.讓讓特定主機可以管理遠端xp電腦

    2.讓這些xp主機可以回應ping request

    3.開啟遠端桌面的功能.讓管理者可以遠端連入xp主機

    我使用AD網域的預設群組原則設定這些規則.設定完成後XP主機能正確套用前兩項原則.但第3項卻ㄧ直無法套用成功.檢查Client端主機的防火牆設定的"例外"標籤中.遠端桌面的設定顯示已套用群組原則設定.但用netstat -a -n卻看不到 TCP 3389有開啟.在遠端主機利用"遠端連線桌面"也無法連線至該主機.

    想請問各位先進.在不改變Client端主機既有防火牆設定下如何利用群組原則.讓遠端主機能連接到這些Client端主機?

    2007年10月31日 上午 02:35

解答

  • 呃~~~我來自問自答一下好了....

    要能夠控制遠端主機防火牆的設定在群組員則有兩個地方要設定

    首先在群組原則裡 電腦設定--->系統管理範本--->網路--->網路連線--->windows防火牆--->網域設定檔--->windows防火牆:允許遠端桌面例外 設為已啟用.並選擇允許連入的ip範圍(這步驟我之前已經完成了)

    接下來在群組原則裡 電腦設定--->系統管理範本--->windows元件--->終端機服務--->允許使用者使用終端機服務從遠端連線 

    設為已啟用

    這兩個原則設定完成後就ok了!

    2007年11月1日 上午 07:18