Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Windows installation ohne Internetrückrufe

realmf
in Systemadministratoren und Netzwerktechniker

Empfohlene Antworten

Veröffentlicht

Hallo,

ich habe einen Samba AD DC Controller, eine dezidierte Netzwerkfirewall (IPCop Fork), einen dezidierten DHCP Server (ISC Dhcp Server) einen entsprechenden Switch und eine Client Maschine mit mehreren GBit Ports.

Die Client - Maschine soll ein Windows 10 Pro bekommen und so abgesichert werden, dass schon während der Installation keinerlei Verbingungen ins Internet erfolgen, die nicht explizit erlaubt werden. Verbindungen sollen während des Betriebs verschiedenen Programmen erlaubt werden. Der Einrichtungsaufwand soll relativ gering sein (etwa automatische IP-Adressvergabe über den DHCP Server).

Derzeit ist es so, dass ich die IP Addressen per DHCP verteilen lassen würde, basierend auf den MAC-Adressen. Diese IP Adressen würde ich von der Netzwerkfirewall blocken lassen. Dies würde vor der Installation eingerichtet werden müssen.

Nach der Installation würde der Rechner in die Domäne aufgenommen werden. Und per GPO Firewallregeln für die Windows Firewall gezogen werden. Diese Regeln verbieten auf allen "Netzwerk-Typen" (privat, öffentlich, domain), den ausgehenden und eingehenden Verkehr, bis auf die wenige Ausnahmen zur internen Kommunikation und die entsprechend freigegebenen Programmen aus den Anforderungen.

Erst wenn diese GPOs gezogen wurden, würde ich die IPs in der Netzwerkfirewall dann freigeben.

Meine Frage: Kann man das nicht einfacher machen, sodass man quasi den Part mit der Netzwerkfirewall weglassen kann. Also nur einmalig in der Netzwerkfirewall die IPs quasi "erlauben" kann und die Installation beginnen kann, ohne dass während der Installation bzw. vor der Aufnahme in der Domäne Internetverbindungen hergestellt werden? Etwa indem man den Rechner vielleicht schon irgendwie vor der Installation in der Domain registriert oder ähnliches?


MfG,

realmf

Eigentlich für automatisierte Rollouts gedacht, könntest du die Installation via Answer File durchführen (Such einfach mal nach Stichwörtern wie: Answerfile, Autounattend.xml, Windows Automated Installation Kit). Damit hast du die Möglichkeit bereits Wunschkonfigurationen während der Betriebssysteminstallation automatisiert durchführen zu lassen. Auch Firewallrules und die direkte Domänenaufnahme des Rechners können damit automatisiert stattfinden. 

Das ist der frühste Zeitpunkt, bei der du Konfigurationen am System durchführen kannst. Eher geht nicht. Ansonsten bliebe da tatsächlich nur das blockieren auf der Firewall.

Bearbeitet von Konketea

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.