Я пытаюсь настроить все системы в своей тестовой сети (1 x Win Server 2008 R2, 2 x Win XP SP3, 2 x Win 7), чтобы был включен режим удаленного администрирования, но у меня возникают трудности с этим с системами XP. .
Я начал с настройки объекта групповой политики и назначения его компьютерам в тестовом подразделении (которое содержит их все). В GPO включен удаленный администратор (предположительно) в редакторе управления групповой политикой -> Конфигурация компьютера -> Политики -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows -> Профиль домена (и стандартный) -> Разрешить входящее удаленное администрирование исключение ВКЛЮЧЕНО.
После того, как у меня есть этот набор, я перехожу к системе Win7 и в командной строке набираю GPUPDATE / force, и сразу же, если я набираю netsh firewall show state, появляется таблица состояния межсетевого экрана.
Я тоже могу отключить его с ожидаемыми результатами. Но если я сделаю то же самое с системой XP SP3, я всегда получу
Даже если я дважды перезапускаю системы XP, перезапускаю сервер, GPUPDATE / force, оставил его на ночь, он никогда не меняется. Что я делаю не так, что системы XP игнорируют GPO? Не существует других политик, которые могли бы его отменить. В локальной системе я могу ввести «netsh firewall set service RemoteAdmin enable», и он работает нормально. Я также добавил тот же параметр в политику домена по умолчанию.
Почему системы XP игнорируют GPO? Я борюсь с этим полдня ... Буду признателен за любой совет!
Почти во всех подобных случаях я видел одну из двух проблем:
Групповая политика не применяется из-за проблем с DNS / сетевым подключением (внешние по отношению к AD DNS-серверы, указанные на ПК, определение носителя DHCP, из-за которого сетевой адаптер не запускается достаточно рано при загрузке, чтобы применить политику компьютера)
Вы думаете, что политика будет применяться, но Windows думает, что это не так.
Взгляните на Результирующий набор правил (rsop.msc) на одной из затронутых машин и, если вы так склонны, опубликуйте вывод gpresult как предлагает @joeqwerty.
Проверьте журнал событий приложений на наличие ошибок, связанных с приложением групповой политики (источник USERENV) и, возможно, из источника «NETLOGON». Если сетевая карта не работает достаточно быстро, вы увидите ошибки сразу после загрузки (обычно это ошибки, связанные с невозможностью найти контроллер домена). Я обнаружил, что некоторым машинам (от известных производителей недавнего урожая) требуется DisableDHCPMediaSense набор значений применять групповую политику правильно. Однако перед тем, как установить это, убедитесь, что порты коммутатора не находятся в состоянии «Прослушивание / обучение» протокола STP, когда ПК впервые подключает сетевой адаптер (на языке Cisco, убедитесь, что порт установлен на включить связующее дерево "portfast").