Windows Firewall Eccezione per Condivisione file e stampanti
Nel mio utiltimo articolo Gestione dell’assistenza remota nell’ambito dell’infrastruttura aziendale ho illustrato le varie possibilità a disposizione per intervenire remotamente sul computer dell’infrastruttura aziendale.
Una di queste è consentire l’accesso alle share amministrative configurando tramite Group Policy un eccezione per Condivisione file e stampanti su Windows con ambito ristretto agli indirizzi IP dei computer da cui verrà eseguita l’amministrazione remota.
Nel caso in cui i computer che ricevono questa Group Policy debbano anche condividere una stampante o una directory nasce un problema. Infatti non è possibile configurare un’altra eccezione per Condivisione file e stampanti, ma occorre far si che quella distribuita via Group Policy sia estesa ad esempio a tutta subnet locale (localsubnet) per il computer in questione.
Le soluzioni possibili sono due:
- Creare Organizational Unit separate per computer senza share e per computer con share applicando poi a ciascuna la GP opportuna per l’ eccezione Condivisione file e stampanti solo per i computer di assistenza e per l’intera subnet.
- Creare due GP per l’ eccezione Condivisione file e stampanti una solo per i computer di assistenza e una per l’intera subnet. Quindi applicare alla prima un filtro WMI che identifichi i computer senza share e alla seconda un filtro WMI che identifichi i computer con share. Ad esempio se PCShared è il nome del computer con share, un filtro WMI per identificarlo può essere SELECT * FROM Win32_OperatingSystem WHERE CSName = ‘PCSHARED’ mentre il filtro per escluderlo SELECT * FROM Win32_OperatingSystem WHERE CSName <> ‘PCSHARED’