Віддалене включення Мережевого Виявлення (Network Discovery)
При розгортанні Windows 7 в корпоративної мережі для прискорення процесу розгортання використовувалася служба WDS. Думаю, так зазвичай у всіх і відбувається. Зрозуміло, перед "заливкою" образу на WDS, образ трохи готувався, були додані деякі програми, деякі компоненти і т.д. Як виявилося пізніше тут-то мене і чекала підступна помилка.
Вузьким місцем при подальшій конфігурації вже розгорнутої операційної системи виявилася відсутність мережевого доступу до неї. Розібравшись в питанні, з'ясував, що в початковому "чистому" образі вимкнено Мережеве Виявлення (Network Discovery).
Далі я постарався описати рішення, як віддалено включити мережеве виявлення на вже розгорнутій операційній системі Windows 7.
Найбільш підходящим інструментом на перший погляд виглядає механізм групових політик. Дійсно, цей інструмент дозволить нам масово поміняти значення параметрів на безлічі машин. Дивимося в конкретний об'єкт групових політик і бачимо такі розділи:
(Конфігурація Комп'ютера \ Політики \ Адміністративні шаблони \ Мережа)
- Виявлення Топології Зв'язки (Link-Layer)
- Сумісність із мережею \ Брандмауер Windows
- Конфігурація Комп'ютера \ Політики \ Адміністративні шаблони \ Мережа \ Мережеві підключення \ Брандмауер Windows \ Доменний профіль \
- Конфігурація Комп'ютера \ Політики \ Адміністративні шаблони \ Мережа \ Виявлення Топології Зв'язки (Link-Layer)
Але, на жаль, зміни цих параметрів в груповій політиці нічого не дало ... (Чому? Див. Нижче). Як і раніше, при спробі, наприклад, пропінгувати настроюється машину була тиша. Крім того, в провіднику при натисканні на значок "Мережа" вилазила підказка про те, що мережеве виявлення вимкнено з пропозицією включити.
Проводячи чергові пошуки знайшов тред на сайті social.technet.microsoft.com, де в повідомленні Joseph Zhou я містилася панацея.
Ось як це все виглядає, для наочності намалював картинку:
Рішення виявилося простим і витонченим - використовувати загальні настройки брандмауера Windows (а точніше Windows Firewall with Advanced Security).
Спочатку готуємо еталонний комп'ютер: налаштовуємо брандмауер, включаємо мережеве виявлення і т.д. Потім виконуємо наступну команду:
netsh advfirewall export C: \ firewall.wfw
У файл firewall.fwf буде вивантажені всі настройки Windows Firewall, в тому числі і ті, що не змінюються за допомогою групових політик.
Ну і вже цей * .bat файл роздати в якості сценарію автозавантаження комп'ютера (Шлях в об'єкті групової політики Конфігурація комп'ютера \ Політики \ Конфігурація Windows \ Сценарії (Запуск \ Завершення). Призначивши об'єкт групової політики на необхідний організаційний юніт, перезавантажуємо машини в цьому юніте і радіємо результату.
Тепер, якщо ми захочемо змінити налаштування Windows Firewall досить просто поміняти їх на еталонної машині, а потім вивантажити як файл в мережеву папку, і при наступному перезавантаженні її підхоплять необхідні робочі станції.
- По-перше, тому що параметри, що знаходяться в Конфігурація Комп'ютера \ Політики \ Адміністративні шаблони \ Мережа \ Виявлення Топології Зв'язки (Link-Layer) взагалі не мають відношення до самого по собі мережевого виявлення.
- По-друге, тому що параметри, що знаходяться в Конфігурація Комп'ютера \ Політики \ Адміністративні шаблони \ Мережа \ Мережеві підключення \ Брандмауер Windows \ Доменний профіль налаштовують параметри Windows Firewall. А ось за мережеве виявлення відповідає вже Windows Firewall with Advanced Security і налаштовується він ось тут:
Конфігурація комп'ютера \ Політики \ Конфігурація Windows \ Параметри безпеки \ Брандмауер Windows в режимі підвищеної безпеки \
І тут в розділі Inbound Rules (Правила для вхідних підключень) необхідно створити правило з типом Predefined (Визначені) і параметром Network Discovery (Пошук мережі).