Я младший администратор компании, начальник которой, кажется, считает хорошей идеей предоставить права локального администратора всем пользователям ... Я не смогу победить, пока не возьму его на работу. У нас есть пользователи, которые настраивают брандмауэры на отключение всех входящих подключений.
Как я могу удаленно перенастроить эти межсетевые экраны без их ведома?
Неудачные попытки ниже!
S:> net use \ 192.168.1.71 \ IPC $ "пароль" / пользователь: домен \ имя пользователя Команда успешно завершена.
S: \ pstools> sc \ 192.168.1.71 пауза «Брандмауэр Windows / Общий доступ к подключению к Интернету (ICS)» [SC] OpenSCManager НЕ СБОЙ 1722:
Сервер RPC недоступен.
S: \ pstools> telnet \ 192.168.1.71 135 Подключение к \ 192.168.1.71 ... Не удалось открыть соединение с хостом на порту 13 5: Ошибка подключения
S: \ pstools> psservice \ 192.168.1.71 -u домен \ имя пользователя -p пароль остановить "Брандмауэр Windows / Общий доступ к подключению к Интернету (ICS)"
PsService v2.21 - служебная информация и утилита настройки Copyright (C) 2001-2006 Марк Руссинович Sysinternals - www.sysinternals.com
Невозможно получить доступ к диспетчеру управления службами на \ 192.168.1.71: сервер RPC недоступен.
Конечно, я мог бы выехать, схватить машину, сделать кое-что, чтобы меня уволили, чтобы все было сделано правильно, но я ищу более простой способ сделать это.
Групповая политика - лучший ответ на это. С помощью этого метода можно установить и применить все настройки брандмауэра.
Два слова: групповая политика
Недавно я использовал PSTOOLS для этого. Это позволяет вам открыть командную строку для удаленного компьютера. После этого просто отключите брандмауэр, используя
'netsh firewall set opmode mode = enable / disable'
Если машины настроены на загрузку PXE, вы можете настроить образ со своими инструментами, готовыми к работе, возможно, что-то сделанное из BartPE, а затем просто выключить и снова включить здание. = P
Групповая политика может справиться с этим в доменной среде. Вы также можете использовать команду брандмауэр netsh установить режим opmode = отключить . Другой способ - экспортировать ключ .reg HKEY_LOCAL_MACHINE-> ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ-> Политики-> Microsoft-> WindowsFirewall и в стандартных профилях и доменных профилях изменить "EnableFirewall" на 0. Вы можете сделать это в автоматическом режиме из cli, набрав regedt / s имя файла.reg
Хотя у пользователей будут права локального администратора, вы не сможете делать ничего, что они не смогут отменить.
Разве у вашей компании нет каких-то «соглашений» о том, что можно делать с помощью компьютеров компании, а что нельзя?
И поскольку в диалоге нет ничего, что нельзя изменить, пытались ли вы обсудить с пользователями и попросить их отключить брандмауэр?
Не могли бы вы задать этот вопрос своему боссу для «обучения / совета, как его решить»? Преимущество юниорства заключается в том, что вы всегда можете выбросить все наверх, если это результат глупых идей вашего руководителя, чтобы они увидели последствия своих решений.
Две мысли ...
1- Научитесь использовать групповую политику. Не только для этой задачи, но и для вашей карьеры. Вы можете контролировать настройки и вы можете контролировать доступ для внесения изменений. Локальный администратор может изменить настройки, если доступ не ограничен, и в этот момент администратор домена превосходит локального администратора (как красноречиво выразилась Кара).
2- Я подозреваю, что брандмауэр блокирует входящие соединения, которые вы пытаетесь использовать, чтобы отключить брандмауэр. Другими словами ... если брандмауэр настроен на блокировку входящих подключений, вы не сможете подключиться, чтобы выполнить команду и отключить ее!