[網管] 以 Win2K Domain Policy 管理 WinXP Firewall - 已有解決方案

achen

有辦法在  Win2K Domain Controller 加上任何的 plug-in 使它可以由 Group Policy 控制 WinXP SP2 的 Firewall 設定嗎?

這個東西讓我越來越頭痛了.. 忘記關掉的時候連 ping 都 ping 不到, 任何形式的連接都連不起來 (VNC, Remote Desltop, ePop, computer management...),  user 沒有權限更改 firewall 設定, 我又不能告訴他們 Administrator 的密碼, 只好每次都親自光臨, 只為了關掉那個該死的 firewall,, 快要累死了

我有找到這個, 但是是給 NT4 domain 用的, 不敢貿然在 Win2K domain 上嘗試...
http://www.microsoft.com/downloa ... &DisplayLang=en

[ Last edited by achen on 2005-6-16 at 11:38 ]

haha

沒錯，我也找了一陣子想要找類似的東西
有人做過的話還請稍微指點一下謝謝

achen

我找到解決方案了, 步驟正確的話, 30 分鐘就可以搞定.

1. 你要先有一台 Windows XP SP2 的電腦, 從那台電腦以 domain admin 帳號登入 domain

2. 根據此頁的說明進行修改 Defaul Group Policy: http://www.microsoft.com/technet ... fwset/wfsp2wgp.mspx
(下面有一堆推薦的設定值, 但是我全部不管它, 我只把 Firewall Disable 掉)

3. 修改好存完檔, 基本上這個新的 Group Policy 已經開始作用, 要在 WinXP workstation 上面測試是否新 GRO 運作無誤, 把 firewall 打開後用 GPUpdate 這個指令去強迫更新: http://www.microsoft.com/technet ... e-daa4a99c1ecf.mspx


4. 但是還有一件事要在舊的 OS (Win2K, WinXP SP1) 上面做,  因為經過 WinXP "染指"過後的的 Group Policy 資料位元數比較長, 你若用舊的 OS 去讀取這個 GPO 的話, 會出現一大堆錯誤訊息, 不要驚慌, 無大礙的, 全部按 OK 或是把 ADUC 終結掉就可以.


5. 以下是如何修復這個錯誤, 只需要在你會去存取 GPO 的 workstation / server 上面執行就可以, 不需要安裝在 "每一個" DC 上面:

說明在此: http://support.microsoft.com/default.aspx?kbid=842933

Win2K 下載在此:  http://www.microsoft.com/downloa ... &displaylang=en

WinXP SP1: 只要裝 SP2 就可以修復, 若真的不想裝 SP2, 下載在此: http://www.microsoft.com/downloa ... &displaylang=en


7. 爽, 解決了心頭的一件大事!!

[ Last edited by achen on 2005-6-16 at 11:26 ]