Não é possível obter estações de trabalho XP para honrar a política de administração remota

Navegue suas respostas
1

Estou tentando definir todos os sistemas da minha rede de teste (1 x Win Server 2008 R2, 2 x Win XP SP3, 2 x Win 7) para que o Modo Administrador Remoto esteja habilitado, mas estou tendo dificuldades em fazer isso com os sistemas XP.

Comecei configurando um GPO e atribuindo-o aos computadores em uma UO de teste (que contém todos eles). O GPO tem o administrador remoto habilitado (supostamente) no Editor de Gerenciamento de Diretiva de Grupo - > Configuração do Computador - > Políticas - > Modelos Administrativos - > Rede - > Conexões de Rede - > Firewall do Windows - > Perfil de domínio (e padrão) - > Permitir exceção de administração remota de entrada ENABLED.

Depois que eu tiver esse conjunto, vou para um sistema Win7 e, no prompt de comando, digite GPUPDATE / force e, imediatamente, se eu digitar 'netsh firewall show state', a tabela Status do Firewall aparecerá com

  • Versão da política de grupo = Firewall do Windows
  • Modo de administração remota = Ativar

Eu posso desativá-lo com os resultados esperados também. Mas se eu fizer a mesma coisa com um sistema XP SP3, sempre obtenho

  • Versão da política de grupo = Nenhuma
  • Modo de administração remota = Desativar

Mesmo se eu reiniciar os sistemas XP duas vezes, reinicie o servidor, GPUPDATE / force, deixe-o durante a noite, ele nunca muda. O que estou fazendo de errado que os sistemas XP ignoram o GPO? Nenhuma outra política existe que possa estar sobrepujando-a. No sistema local eu posso digitar 'netsh firewall set service RemoteAdmin enable' e funciona muito bem. Eu também adicionei a mesma configuração à Política de Domínio padrão.

Por que os sistemas XP ignorariam o GPO? Eu tenho lutado com isso por meio dia ... Qualquer conselho seria muito apreciado!

    
por TripleAntigen 31.07.2011 / 10:31

1 resposta

4

Em quase todos os casos como este, vi que um dos dois problemas está ocorrendo:

  • A Diretiva de Grupo não está sendo aplicada devido a problemas de conectividade de DNS / rede (servidores DNS externos a AD especificados nos PCs, senso de mídia DHCP fazendo com que a NIC não seja inicializada o suficiente na inicialização para aplicar a máquina política)

  • Você acha que a política será aplicada, mas o Windows acha que não é possível

Dê uma olhada no Conjunto de diretivas resultante ( rsop.msc ) em uma das máquinas afetadas e, se você estiver inclinado, poste a saída de um gpresult como sugerido por @joeqwerty.

Verifique no log de eventos do aplicativo os erros relacionados ao aplicativo de diretiva de grupo (fonte USERENV) e possivelmente a partir da fonte "NETLOGON". Se a NIC não estiver chegando rápido o suficiente, você verá erros logo após a inicialização (erros sobre não conseguir localizar um controlador de domínio, normalmente). Descobrimos que algumas máquinas (de fabricantes de marca de marca de uma safra recente) precisam ter o DisableDHCPMediaSense valor definido para aplicar o direito da diretiva de grupo. Antes de definir isso, no entanto, certifique-se de que as portas do switch não estejam em estado "Listening / Learning" do STP (Spanning Tree Protocol) quando o PC fizer o NIC subir pela primeira vez (no jargão da Cisco, verifique se a porta está configurada como ativar a árvore de abrangência "portfast").

    
por 01.08.2011 / 00:30

Tags

Alguém pode recomendar um livro sobre o Kerberos que mencione o AD 2008? [fechadas] É possível ter vários servidores para o mesmo domínio?