Windows Firewall Eccezione per Condivisione file e stampanti

Nel mio utiltimo articolo Gestione dell’assistenza remota nell’ambito dell’infrastruttura aziendale ho illustrato le varie possibilità a disposizione per intervenire remotamente sul computer dell’infrastruttura aziendale.

Una di queste è consentire l’accesso alle share amministrative configurando tramite Group Policy un eccezione per Condivisione file e stampanti su Windows con ambito ristretto agli indirizzi IP dei computer da cui verrà eseguita l’amministrazione remota.

Nel caso in cui i computer che ricevono questa Group Policy debbano anche condividere una stampante o una directory nasce un problema. Infatti non è possibile configurare un’altra eccezione per Condivisione file e stampanti, ma occorre far si che quella distribuita via Group Policy sia estesa ad esempio a tutta subnet locale (localsubnet) per il computer in questione.

Le soluzioni possibili sono due:

1. Creare Organizational Unit separate per computer senza share e per computer con share applicando poi a ciascuna la GP opportuna per l’ eccezione Condivisione file e stampanti solo per i computer di assistenza e per l’intera subnet.
2. Creare due GP per l’ eccezione Condivisione file e stampanti una solo per i computer di assistenza e una per l’intera subnet. Quindi applicare alla prima un filtro WMI che identifichi i computer senza share e alla seconda un filtro WMI che identifichi i computer con share. Ad esempio se PCShared è il nome del computer con share, un filtro WMI per identificarlo può essere SELECT * FROM Win32_OperatingSystem WHERE CSName = ‘PCSHARED’ mentre il filtro per escluderlo SELECT * FROM Win32_OperatingSystem WHERE CSName <> ‘PCSHARED’