Es gibt im Domänenumfeld unter Windows immer wieder die Notwendigkeit, die Clients ohne aktive Firewall laufen zu haben – Remote Control ist mal der einfachste aller Gründe.
Dazu kommt noch ein bunter Strauss Spezialanwendungen, die sich mit PC-Firewalls schwer tun.
Ja, man könnte auch einzelne Ports freigeben, aber solange man hinter einer Unternehmensfirewall sitzt und der Webverkehr durch diverse Proxies und Virenscanner läuft ist es in meinen Augen unkritisch, die Firewall auf den Clients abzuschalten.
Das kann man auf verschiedenen Wegen machen und der eleganteste sollte der Windows-eigene sein, über die Gruppenrichtlinien Firewall-Profile einzurichten. Hat das eigentlich bei jemandem mal funktioniert?
Wir haben bisher immer im Anmeldescript für die Rechner (also vor der Anmeldung) einen netsh-Befehl abgesetzt,
netsh firewall set opmode mode=disable
der aber nicht bei allen Rechnern zog (meine Vermutung: die Netzwerkkarten befinden sich vor der Anmeldung noch nicht in einem sauber konfigurierten Modus). Das führt dann zu Fehlermeldungen in besagten Programmen und zu Problemen bei der Softewareverteilung.
Nase voll und ab sofort wird über die Gruppenrichtlinie
Computerkonfiguration – Windows Einstellungen – Sicherheitseinstellungen – Systemdienste
der Firewall-Dienst deaktiviert. Mit dieser GPO kann man auch andere Dienste steuern, sehr feine Sache 
Diese GPO wird per Sicherheitsfilter nicht an Notebooks verteilt, so dass die mit Firewalls rumlaufen. Dafür nutzen Notebookuser auch sehr selten die Spezialanwendungen
Hallo Stephan,
nutze die GPO um zum Beispiel Updates zu verteilen in Verbindung mit WSUS.
Des Weiteren kann man auch per GPO zum Beispiel Outlook Konfigurieren. Dies ist zum Beispiel hilfreich um jeden Client nur “TEXT” lesen und schreiben zu lassen und nicht HTML.
Naja, WinServer 2003 kennt glaub ich 35.000 verschiedene GPO´s, Server2008R2 hat nochmal 5.000 mehr… da findet sich für jeden was
Wir setzen das natürlich auch schon länger ein, um Desktopverhalten, IE u.v.m. zu steuern. Dass die aber so tief ins System eingreifen können, war mir bis heute gar nicht bewusst…
Ich entdecke auch immer wieder was neues
Huhu, wir nutzen hier in der Firma Windoof *g*. Aber glaub werde bei meinem HeimpC auch mal einiges abstellen.
@Gabi: bei dem Beitrag ging es ausdrücklich um Windows im Domänenumfeld, sprich in einem größerem Netzwerk mit entsprechender Firewall usw.
Im privaten Umfeld sollte IMMER die Firewall von Windows mitlaufen!
Oh…OK
Lieben Dank Stephan!