Pull GPO abschalten

Discussion:

Pull GPO abschalten

(zu alt für eine Antwort)

Uwe Ruhm

2010-05-12 07:18:48 UTC

Hallo,

es handelt sich um eine kleine W2k3-Domain mit XP und Windows 7 Clients.

Ist es möglich die Abholung der GPO auf den Clients zu
deaktivieren/überspringen und die lokale GPO zu nutzen bzw. manuell zu
verteilen.

Danke!

Uwe

Mark Heitbrink [MVP]

2010-05-12 09:33:21 UTC

Permalink

Hi,

Post by Uwe Ruhm
Ist es möglich die Abholung der GPO auf den Clients zu
deaktivieren/überspringen und die lokale GPO zu nutzen

Sie wird genutzt. Immer. Nur bei konkurrierenden Einstellungen
gewinnt die der Domäne. Ist also in der Domäne nichts konfiguriert,
ist immer die Lokale die gewinnende.

Post by Uwe Ruhm
bzw. manuell zu verteilen.

Das ist Blödsinn. Ich laufe doch nicht zu 25 Computern,
wen ich das an einer Stelle zentral erledigen kann.

Nenn mir einen Grund, warum du das möchtest.
Übergewicht und deswegen rumrennen? Das ist keine Grund.

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Uwe Ruhm

2010-05-13 09:17:41 UTC

Permalink

Hallo,

Post by Mark Heitbrink [MVP]
Das ist Blödsinn. Ich laufe doch nicht zu 25 Computern,
wen ich das an einer Stelle zentral erledigen kann.

wie ich schrieb handelt es sich um eine (sehr) kleine Domain mit < 10
Clients, welche (mit ein paar Ausnahmen) auch räumlich nicht getrennt sind.

Post by Mark Heitbrink [MVP]
Nenn mir einen Grund, warum du das möchtest.
Übergewicht und deswegen rumrennen? Das ist keine Grund.

Der Grund ist, dass wir auf der Firewall die Ports oberhalb von 1023 nicht
für RPC geöffnet haben.
Und anstatt den "Limited RPC" - Hack einzusetzen könnte man ja auch gleich
den nicht benötigten "GPO Pull" abschalten(falls möglich).

Oder gibt es noch andere Geschichten zwischen DC und Clients die über RPC
laufen und unbedingt benötigt werden?

Uwe

Mark Heitbrink [MVP]

2010-05-16 18:56:40 UTC

Permalink

Hi,

Post by Uwe Ruhm
wie ich schrieb handelt es sich um eine (sehr) kleine Domain mit < 10
Clients, welche (mit ein paar Ausnahmen) auch räumlich nicht getrennt sind.

Immer noch zuviel Laufarbeit.

Post by Uwe Ruhm
Der Grund ist, dass wir auf der Firewall die Ports oberhalb von 1023
nicht für RPC geöffnet haben.

Soso. Weniger als 10 PCs aber eine Panik Konfig in der Firewall.
Wenn schon PanikKonfig, dann verwende eine Firewall die auf Protokoll
Ebene filtert und nicht auf Ports.

Post by Uwe Ruhm
Und anstatt den "Limited RPC" - Hack einzusetzen könnte man ja auch
gleich den nicht benötigten "GPO Pull" abschalten(falls möglich).
Oder gibt es noch andere Geschichten zwischen DC und Clients die über
RPC laufen und unbedingt benötigt werden?

Keine Ahnung es gibt da wohl keine Liste, denn kein Mensch kennt
ALLE! Programme der Welt, die da im Netzwerk aktvi sein können,
aber warte einfach ab, was nicht funktioniert.

Ich finde aber allein schon "keine Gruppenrichtlinien" als alleiniges
KO Kritierium für ein ausreichendes Argument.

Was ist mit RSOP von zentraller Stelle?
Was ist mit div. Tools wie DocuSnap?
Was ist mit Monitoring, Logging etc?
die machen alle RPC.

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Uwe Ruhm

2010-05-19 07:17:12 UTC

Permalink

Hallo,

Post by Mark Heitbrink [MVP]
Immer noch zuviel Laufarbeit.

Etwas Bewegung hat in der Branche noch niemand geschadet.

Post by Mark Heitbrink [MVP]
Soso. Weniger als 10 PCs aber eine Panik Konfig in der Firewall.
Wenn schon PanikKonfig, dann verwende eine Firewall die auf Protokoll
Ebene filtert und nicht auf Ports.

Ich habe die Window Firewall genutzt, da diese für unsere Zwecke eigentlich
völlig ausreicht.
Und wieso Panik, wenn man das lokale Netzwerk schützen will? Verstehe ich
nicht!

Post by Mark Heitbrink [MVP]
Was ist mit RSOP von zentraller Stelle?
Was ist mit div. Tools wie DocuSnap?
Was ist mit Monitoring, Logging etc?
die machen alle RPC.

Sicher, ich kann aber auch lokale Logdateien anlegen und diese dann aus der
"Ferne" anschauen. Den Rest benötige ich nicht!

Um noch einmal auf den Grund meiner Anfrage zu kommen.

Ist eine lokale Abschaltung der GPO möglich?
Wenn ja - wie?
Wenn nein - warum nicht?

Danke!

Uwe

Mark Heitbrink [MVP]

2010-05-19 20:36:59 UTC

Permalink

Hi,

Post by Uwe Ruhm
Und wieso Panik, wenn man das lokale Netzwerk schützen will?
Verstehe ich nicht!

Weil es dich nicht schützt. Dein System ist nicht "angreifbarer"
nur weil es über highports kommuniziert.
Du kannst keine Türen einschlagen, hinter denen keine Räume sind.
Die Ports, die immer angegriffen werden hast du ja freiwillig geöffnet,
weil du ohne sie nicht arbeiten kannst. Die oberhalb von 1024
verwendeten sind nur ärgerlich, weil sie "dynamisch" sind und
bei einer Kommunikation über Router hinweg nicht ordentlich zu regeln
sind. Aber in einem LAN macht das NULL Sinn, ob der Dienst nun über
2 Ports kommuniziert oder 2 Ports, die er dynamisch aushandelt.

Post by Uwe Ruhm
Ist eine lokale Abschaltung der GPO möglich?

Ja sicher.

Post by Uwe Ruhm
Wenn ja - wie?

dll de-registrieren, oder löschen, du bist der Admin.

Post by Uwe Ruhm
Wenn nein - warum nicht?

Weils keinen Sinn macht.

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Winfried Sonntag [MVP]

2010-05-12 09:40:34 UTC

Permalink

Post by Uwe Ruhm
es handelt sich um eine kleine W2k3-Domain mit XP und Windows 7 Clients.
Ist es möglich die Abholung der GPO auf den Clients zu
deaktivieren/überspringen und die lokale GPO zu nutzen bzw. manuell zu
verteilen.

Möglich ist vieles. Dein Vorhaben ist sehr ungewöhnlich. Kannst Du das
ausführlich begründen? Evtl. gibts ja bessere Lösungen. Was willst Du
erreichen?

Servus
Winfried

--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste