Kategorien
Tutorials

Windows Remoteverwaltung per GPO aktivieren

Unabhängig davon, ob es sich um einen Windows Server mit Desktop Experience oder einen Windows Server Core handelt, empfiehlt Microsoft einen Windows Server in erster Linie remote zu verwalten. Allerdings liegt es auf der Hand, dass eine grafische Remoteverwaltung gerade bei Core Servern einiges erleichtert. Damit die Remoteverwaltung mittels Server-Manager, RSAT-Tools oder Windows Admin Center reibungslos funktioniert, sind einige Dinge zu beachten. Welche dies konkret sind und wie die Remoteverwaltung für Windows per GPO aktiviert werden kann, beleuchte ich in diesem Artikel.

Getestet wurde dieser Artikel unter Windows Server 2016 und Windows 10 Version 1803.

Firewallregeln per GPO ausrollen

In dieser Anleitung gehe ich davon aus, dass sich sämtliche Server und Clients in der Domäne befinden und das Domänenprofil aktiv ist. Zunächst ist eine neue GPO zu erstellen und mit der gewünschten OU zu verknüpfen. Die Firewalleinstellungen sind schließlich unter Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Windows Defender Firewall mit erweiterter Sicherheit -> Windows Defender Firewall mit erweiterter Sicherheit -> Eingehende Regeln zu finden. Per Rechtsklick kann schließlich eine neue Regel erstellt werden. Um die Regeln zu erstellen ist zunächst unter "Vordefiniert" eine Gruppe...

... und im nächsten Schritt die entsprechenden Regeln auszuwählen:

Windows Firewall Remoteverwaltung

In folgendem Screenshot ist zu sehen, welche Regeln alles erforderlich sind:

Windows Firewall Remoteverwaltung per GPO

Die Regel "Windows-Remoteverwaltung (HTTP eingehend)" ist unter Serversystemem standardmäßig aktiv, unter Clientsystemen jedoch nicht.

Die Regeln der Gruppe "Remotevolumenverwaltung" müssen auch auf den Systemen aktiviert werden, von denen die Remoteverbindung aus aufgebaut werden soll. Ansonsten lässt sich die Datenträgerverwaltung auf dem Remotecomputer nicht öffnen.

Sicherheit erhöhen

Aus Sicherheitsgründen sollte noch konfiguriert werden, dass die Remoteverwaltung nur von bestimmten IP-Adressen aus aufgerufen werden darf. Dies kann über die Eigenschaften der Regeln konfiguriert werden:

Windows RM-Dienst starten

Ebenfalls erforderlich ist es, dass der Dienst "Windows-Remoteverwaltung (WS-Verwaltung)", kurz "WinRM" ausgeführt wird. Unter Serversystemen ist dies standardmäßig der Fall, unter Clientsystemen jedoch nicht. Um sicher zu gehen, ist es empfehlenswert eine entsprechende GPO zu erstellen. Dies gelingt unter Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Systemdienste:

Windows Dienst Remoteverwaltung per GPO aktivieren

Sämtliche Remoteverwaltungstools wie das Windows Admin Center oder RSAT sollten jetzt funktionieren:

Windows Admin Center

Viel Spaß mit der Remoteverwaltung von Windows. Wie verwaltet ihr eure Systeme? Lasst es mich in den Kommentaren wissen! 🙂

Weiterführende Links
https://docs.microsoft.com/de-de/windows-server/manage/windows-admin-center/understand/windows-admin-center

Quellen
https://www.windowspro.de/wolfgang-sommergut/winrm-ueber-gpos-konfigurieren-firewall-ausnahmen-einrichten

Seit mehreren Jahren begeistere ich mich privat und beruflich für die IT. Das habe ich dann auch zum Anlass genommen, diesen Blog ins Leben zu rufen, um dort praxisnahe Tutorials über verschiedene IT-Themen zu schreiben und meine selbst geschriebene Software zu veröffentlichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.