如何從新得到使用腳本遠程管理運行SP2 的計算機的能力

時間 2020-01-23

標籤如何從新得到使用腳本遠程管理運行 sp2 計算機能力简体版

原文原文鏈接

對於已經安裝了 SP2 的 Windows XP , 如何實現遠程管理 ?
背景 : 域環境下 , 對於操做系統是 Windows XP SP2 的工做站 , 沒法繼續實施遠程維護 ?

在 SP2 以前的系統 , 如 Windows 2000 的各類版本 , 未帶防火牆的各類 XP , 加入域後
工做站上有兩個本地組自動添加以下成員
Local Administrators 自動添加了 Domain Admins
Local Users 裏面自動添加了 Domain Users

管理員能夠在控制器上實現對工做站的遠程管理 ( 管理方包括 mmc.exe , 腳本 , 命令行 ...)
可是 , 若是工做站是 , 帶防火牆的 XP , 默認狀況下 , 這一切管理將變得不可能了
爲何呢 ?
事實上， Service Pack 2 新的 Windows 防火牆（ Service Pack 2 中不只將其默認啓用，而且還將其配置爲咱們所可以想到的最安全的設置）多數狀況下會禁止組策略之外的任何其餘方法遠程管理這些計算機。這就是不能遠程管理您的計算機的緣由。

默認狀況下，這個規則沒有例外。腳本沒法經過，命令行工具和 MMC 管理單元沒法經過，其餘任何東西也都沒法經過。實際上，默認狀況下，只有同樣東西可用於管理運行 Service Pack 2 的計算機，那就是組策略。這是由於組策略不是未經請求的傳入通訊量。當您的計算機啓動時（或用戶登陸時），計算機會與 Active Directory 聯繫並請求應用組策略。這使得組策略成了經請求的通訊量，從而使得它可以穿過防火牆。

這也適用於登陸和註銷腳本以及計算機啓動和關機腳本。由於這些腳本是由組策略的上下文指派的而且是在組策略的上下文中運行的，因此它們可以經過防火牆。不過，在工做站上啓動的試圖鏈接到遠程計算機的任何腳本都將被拒絕；畢竟，這樣的腳本屬於未經請求的傳入通訊量。

如何才能從新得到使用腳本遠程管理運行 Service Pack 2 的計算機的能力？
關鍵是 , 防火牆參數裏面有一條 : 文件和打印共享 , 須要啓用此規則 ( 此規則實質上 , 是打開 137,138,139,445... 端口 )

通過試驗 , 我找到下面的方法 , 實踐證實 , 是可行的
用如下的方法能夠實現 :

1. 管理員親自到每臺工做站上更改防牆的設置 ;( 此辦法 , 太麻煩 , 而且有許多不便之處 )
1. 在域控制器上編寫一個啓動腳本 , 此腳本的做用是 , 修改以上的防火牆參數 ;
我寫的腳本 , 是由兩個文件組成 , 一個是 , 註冊表文件 fire.reg
另一個是 , 批處理文件 , 內容就是導入上述註冊表文件 regedit.exe -s fire.reg

下面是標準的 reg 格式文件 ,
注意 ,
第一行與第二行之間 , 有一空行
而後 , 結束 , 還有兩行空行

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
"3389:TCP"="3389:TCP:*:Disabled:@xpsp2res.dll,-22009"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
"3389:TCP"="3389:TCP:*:Disabled:@xpsp2res.dll,-22009"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
"3389:TCP"="3389:TCP:*:Disabled:@xpsp2res.dll,-22009"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions"=dword:00000000

配置 Windows 防火牆組策略
請與您的網絡管理員聯繫，肯定組策略設置是否禁止程序和方案在企業環境中運行。

Windows 防火牆組策略設置位於如下「組策略對象編輯器」管理單元路徑中： • 計算機配置 / 管理模板 / 網絡 / 網絡鏈接 /Windows 防火牆
• 計算機配置 / 管理模板 / 網絡 / 網絡鏈接 /Windows 防火牆 / 域配置文件
• 計算機配置 / 管理模板 / 網絡 / 網絡鏈接 /Windows 防火牆 / 標準配置文件

從這些位置，您能夠配置如下組策略設置： • Windows 防火牆：容許已驗證的 Internet 協議安全 (IPSec) 繞過
• Windows 防火牆：保護全部網絡鏈接
• Windows 防火牆：不容許例外
• Windows 防火牆：定義例外程序
• Windows 防火牆：容許本地程序例外
• Windows 防火牆：容許遠程管理例外
• Windows 防火牆：容許文件和打印共享例外
• Windows 防火牆：容許 ICMP 例外
• Windows 防火牆：容許遠程桌面例外
• Windows 防火牆：容許通用即插即用 (UpnP) 框架例外
• Windows 防火牆：禁止通知
• Windows 防火牆：容許日誌記錄
• Windows 防火牆：禁止對多播或廣播請求進行單播響應
• Windows 防火牆：定義例外端口
• Windows 防火牆：容許本地端口例外

有關 Windows 防火牆組策略設置的更多信息，請下載下面的白皮書：
Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 （對安裝了 Service Pack 2 的 Microsoft Windows XP 部署 Windows 防火牆設置）