Exporteren (0) Afdrukken
Alles uitvouwen

RSoP (Resulterende verzameling beleidsregels)

Hoe werkt RSoP?

Met RSoP (Resulterende verzameling beleidsregels) voor groepsbeleid wordt aangegeven welke groepsbeleidsinstellingen van kracht zijn voor een gebruiker of computer. Met Resultaten van groepsbeleid in de GPMC (Group Policy Management Console) worden RSoP-gegevens aangevraagd van een doelcomputer en vervolgens weergegeven in een HTML-rapport. Via Groepsbeleidsmodel worden dezelfde gegevens aangevraagd, maar hierbij zijn de gerapporteerde gegevens afkomstig van een service waarmee RSoP wordt gesimuleerd voor een combinatie van computer en gebruiker. Deze simulatie wordt uitgevoerd op een domeincontroller met Windows Server 2003, waarna de gevonden gegevens voor presentatie worden geretourneerd naar de computer waarop GPMC wordt uitgevoerd. Tot slot biedt de MMC (Microsoft Management Console) van RSoP een alternatieve manier om deze informatie weer te geven, hoewel de methode Resultaten van groepsbeleid in het algemeen de voorkeur heeft.

Voor wie is deze voorziening van belang?

Groepsbeleidsbeheerders in een Active Directory-domeinomgeving. IT-professionals die de toepassing van groepsbeleid willen plannen of valideren zijn mogelijk ook geïnteresseerd in RSoP.

Welke bestaande functionaliteit is gewijzigd in Windows Server 2003 Service Pack 1?

Het gebruik van RSoP met Windows Firewall ingeschakeld

Gedetailleerde beschrijving

In Windows XP Service Pack 2 (SP2) is de functie Windows Firewall standaard ingeschakeld. Binnenkomende aanvragen voor ongeopende poorten (in tegenstelling tot antwoorden op aanvragen die afkomstig zijn van de computer) worden geblokkeerd door Windows Firewall. In Windows Server 2003 Service Pack 1 (SP1) is de functie Windows Firewall standaard uitgeschakeld.

Als u ervoor kiest Windows Firewall te gebruiken, moet u zich bewust zijn van het effect van het gebruik van deze functie op RSoP in het hele netwerk.

Zie 'Windows Firewall' in dit document voor meer informatie over Windows Firewall.

Wat is het belang van deze wijziging?

Het inschakelen van een firewall, zoals Windows Firewall, biedt extra beveiliging tegen een groot aantal netwerkaanvallen. Als Windows Firewall bijvoorbeeld zou zijn ingeschakeld, zou de MSBlaster-aanval een stuk minder impact hebben gehad, ongeacht de vraag of gebruikers de laatste patches hadden geïnstalleerd.

Wat werkt er anders?

Er zijn twee belangrijke wijzigingen aangebracht in RSoP in Windows Server 2003 SP1.

  • Wanneer Windows Firewall op een computer is geïnstalleerd, kan er vanaf die doelcomputer geen externe toegang meer worden verkregen tot RSoP-gegevens.
  • Als Windows Firewall is ingeschakeld en GPMC wordt uitgevoerd om RSoP-gegevens op te halen via Resultaten van groepsbeleid of Groepsbeleidsmodel, kunnen deze gegevens niet worden opgehaald.

Hoe los ik dit op?

De volgende tabel bevat een overzicht van de wijzigingen die benodigd zijn voor een volledige ondersteuning van externe RSoP-taken wanneer Windows XP SP2 of Windows Server 2003 SP1 wordt uitgevoerd met Windows Firewall ingeschakeld. Zie de secties hieronder voor nadere details.

 

Taak Doelcomputer Beheerderscomputer

Groepsbeleidsresultaten genereren

Schakel de instelling Windows Firewall: uitzondering voor extern beheer toestaan in Groepsbeleid in.

Deze instelling voor groepsbeleid bevindt zich in Computerconfiguratie\Beheersjablonen\Netwerk\Netwerkverbindingen\Windows Firewall\[Domein | Standaard] Profiel\.

GPMC met SP1.

Geen actie vereist.

Invoegtoepassing RSoP.

Schakel de optie Windows Firewall: programmauitzonderingen definiëren in. Configureer de lijst met programma-uitzonderingen met het volledige pad naar Unsecapp.exe, zodat WMI-berichten kunnen worden doorgegeven. Bij een standaardinstallatie bevindt Unsecapp.exe zich in de map C:\Windows\System32\Wbem.

Stel Windows Firewall: poortuitzonderingen definiëren zo in dat poort 135 wordt geopend.

Toegang tot Resultaten van groepsbeleid overdragen

Schakel de instelling Windows Firewall: uitzondering voor extern beheer toestaan in Groepsbeleid in.

Configureer de volgende DCOM-beveiligingsinstellingen:

DCOM: toegangsbeperkingen voor computer…

DCOM: opstartbeperkingen voor computer…

Deze beleidsinstellingen bevinden zich in Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties.

Geen wijzigingen noodzakelijk

Een lokaal groepsbeleidsobject extern bewerken

Schakel de beleidsinstelling Windows Firewall: uitzondering voor bestands- en printerdeling toestaan in.

Deze beleidsinstelling bevindt zich in Computerconfiguratie\Beheersjablonen\Netwerk\Netwerkverbindingen\Windows Firewall\Domein- of standaardprofiel\.

Geen wijzigingen noodzakelijk.

RSoP extern beheren met GPMC SP1

Bij de eerste release van GPMC werd een callbackmechanisme gebruikt tijdens het wachten op de resultaten van een aanvraag voor Resultaten van groepsbeleid of Groepsbeleidsmodel. De beheercomputer moet 'luisteren' naar dit antwoord. Als Windows Firewall is ingeschakeld, worden dergelijke antwoorden in Windows geblokkeerd. Hoewel u dit kunt oplossen door de juiste poorten te openen, wordt het callbackmechanisme helemaal niet meer gebruikt in de bijgewerkte GPMC met Service Pack 1. Het is raadzaam de GPMC te installeren met Windows Server 2003 Service Pack 1 omdat Resultaten van groepsbeleid en Groepsbeleidsmodel dan blijven werken zonder dat de poorten op de beheercomputer worden geopend. Raadpleeg het onderwerp over de console voor groepsbeleidsbeheer met Service Pack 1 in Microsoft Download Center op http://go.microsoft.com/fwlink/?LinkId=23529 als u GPMC wilt installeren met Windows Server 2003 Service Pack 1.

Als u RSoP extern wilt beheren, moet u de groepsbeleidsinstelling Windows Firewall: uitzondering voor extern beheer toestaan inschakelen op doelcomputers.

RSoP extern beheren met de MMC-module RSoP

Als RSoP extern moet worden beheerd met de MMC-module RSoP, moet de doelcomputer naar de juiste netwerkpoorten luisteren om ervoor te zorgen dat binnenkomende RSoP-aanvragen kunnen worden verwerkt. Dit kan worden gedaan via Groepsbeleid met de volgende beleidsinstellingen:

  • Schakel de groepsbeleidinstelling Windows Firewall: programmauitzonderingen definiëren in als u Unsecapp.exe wilt toestaan. Geef het volledige pad naar Unsecapp.exe op.
  • Schakel de groepsbeleidsinstelling Windows Firewall: poortuitzonderingen definiëren in en open poort 135. Klik op Weergeven en typ het volgende: 135:TCP:*:Enabled:135.
CautionWaarschuwing
Als de groepsbeleidsinstelling Windows Firewall: poortuitzonderingen definiëren is ingeschakeld, is het mogelijk dat ook ongewenste gegevens op deze poort worden geaccepteerd. Evalueer deze groepsbeleidsinstelling dus goed voordat u deze in uw omgeving inschakelt. U hoeft deze beleidsinstelling niet in te schakelen als de groepsbeleidsinstelling Windows Firewall: uitzondering voor extern beheer toestaan is ingeschakeld op de beheercomputer.

Toegang tot Resultaten van groepsbeleid overdragen

Standaard kunnen Resultaten van groepsbeleid en de module RSoP alleen extern worden gebruikt wanneer degene van wie de aanvraag afkomstig is, lokaal Administrator is op de doelcomputer. Vanaf Windows Server 2003 is een overdrachtsmodel beschikbaar waarbij dit recht ook kan worden overgedragen aan gebruikers die geen beheerder zijn op de doelcomputer. Dit is een veelgebruikte methode wanneer helpdeskmedewerkers toegang moeten hebben tot computers zonder dat ze Administrator worden van die computers.

In Windows XP Service Pack 2 en Windows Server 2003 Service Pack 1 is het beveiligingsmodel voor DCOM-verificatie (waarvan RSoP afhankelijk is) versterkt. Zelfs als RSoP-overdracht op de juiste manier is ingesteld, wordt met dit strengere beleid voorkomen dat niet-Administrators RSoP-gegevens ophalen van een doelcomputer. Deze kwestie heeft geen gevolgen voor Groepsbeleidsmodel, aangezien de aanvraag voor gesimuleerde RSoP-gegevens wordt gedaan bij een domeincontroller waarop Windows Server 2003 wordt uitgevoerd en Windows XP per definitie niet wordt uitgevoerd.

U kunt de lijst met gebruikers en groepen beheren die via groepsbeleid aan DCOM-verificatie is gekoppeld. Voor herhaaldelijk gebruik van overgedragen RSoP moeten gebruikers aan wie u dit recht toekent, ook toegang hebben via het DCOM-verificatiemodel. Zie het onderwerp over de verbeteringen in de DCOM-beveiliging eerder in dit document voor meer informatie over de wijzigingen in de beveiliging van DCOM in Windows Server 2003 Service Pack 1.

Gebruik de volgende procedure om de toegang tot Resultaten van groepsbeleid over te dragen:

Toegang tot Resultaten van groepsbeleid overdragen
  1. Schakel de groepsbeleidsinstelling Windows Firewall: uitzondering voor extern beheer toestaan in op doelcomputers.

  2. Configureer de volgende instellingen voor DCOM-beveiligingsbeleid op doelcomputers. (Deze bevinden zich in Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties.)

    DCOM: toegangsbeperkingen voor computer in SDDL-syntaxis

    DCOM: opstartbeperkingen voor computer in SDDL-syntaxis

  3. Klik met de rechtermuisknop op het groepsbeleidsobject en klik vervolgens op Eigenschappen.

  4. Klik op Beveiliging bewerken. Toegangsmachtigingen wordt geopend.

  5. Klik op Toevoegen. Vervolgens wordt Gebruikers, computers of groepen selecteren geopend.

  6. Klik op de gewenste overdrachtsdoelen.

Een lokaal groepsbeleidsobject extern bewerken

Als u extern een lokaal groepsbeleidsobject wilt bewerken op een doelcomputer waarop Windows Firewall is ingeschakeld, moet u de beleidsinstelling Windows Firewall: uitzondering voor bestands- en printerdeling toestaan inschakelen.

De beleidsinstelling bevindt zich in Computerconfiguratie\Beheersjablonen\Netwerk\Netwerkverbindingen\Windows Firewall\[Domein|Standaard] Profiel\.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2014 Microsoft