Gibt es eine Gruppenrichtlinieneinstellung, um den Standard-Netzwerktyp festzulegen?
- Einleitung
- Hintergrund zum Netzwerktyp in Windows
- Direkte Gruppenrichtlinieneinstellung für Standard-Netzwerktyp
- Möglichkeiten zur Steuerung über Gruppenrichtlinien
- Fazit
Einleitung
In Windows-Betriebssystemen wird der Netzwerktyp (Privat, Öffentlich oder Domäne) verwendet, um zu bestimmen, wie sich ein Computer im Netz verhält und welche Sicherheitsregeln angewendet werden. Vor allem in Unternehmensnetzwerken ist es wichtig, den Standard-Netzwerktyp zentral zu verwalten, um Sicherheitsrichtlinien einheitlich umzusetzen.
Die zentrale Verwaltung der Netzwerkeinstellungen kann über Gruppenrichtlinien erfolgen. Die grundlegende Frage ist hierbei, ob und wie man über eine Gruppenrichtlinie den Standard-Netzwerktyp festlegen kann.
Hintergrund zum Netzwerktyp in Windows
Ab Windows 7 und Windows Server 2008 R2 erkennt das Betriebssystem automatisch den Netzwerktype basierend auf der Verbindung. Das Netzwerkprofil wird bei der erstmaligen Verbindung zu einem Netzwerk festgelegt und bestimmt, welche Firewallregeln und Freigabeeinstellungen angewendet werden.
Die Typen sind grundsätzlich Öffentlich (strenger, eingeschränkt), Privat (zugänglicher, z. B. Heimnetz) oder Domäne (wenn der Computer Mitglied einer Active Directory Domäne ist).
Direkte Gruppenrichtlinieneinstellung für Standard-Netzwerktyp
Bis dato gibt es im Gruppenrichtlinien-Editor (GPO) keine direkte, vordefinierte Einstellung mit der Bezeichnung wie Standard-Netzwerktyp festlegen. Die Steuerung des Netzwerkprofils ist nicht nativ als einzelne GPO-Einstellung vorhanden. Microsoft stellt keine direkte Gruppenrichtlinie bereit, um etwa per GPO automatisch das Profil auf Privat oder Öffentlich forciert einzustellen.
Der Netzwerktyp wird vom Betriebssystem basierend auf Netzwerkerkennung und Netzwerkbindung erkannt und verwaltet. Das Verhalten wird unter anderem vom Dienst Netzwerkprofil im Betriebssystem selbst gesteuert.
Möglichkeiten zur Steuerung über Gruppenrichtlinien
Auch wenn es keine direkte GPO-Einstellung gibt, lässt sich der Standard-Netzwerktyp indirekt beeinflussen. Eine Möglichkeit besteht darin, Firewallregeln über GPOs anzupassen, die für bestimmte Profile gelten. So kann man z.B. die Firewallregeln für das öffentliche Profil sehr restriktiv einstellen, und nur für das private Profil bestimmte Freigaben zulassen.
Ebenfalls ist es möglich, mit Hilfe von PowerShell-Skripten, die via Gruppenrichtlinie (z.B. als Anmeldeskript oder durch Gruppenrichtlinien-Ereignisse) verteilt werden, den Netzwerktyp zu überprüfen und gegebenenfalls zu ändern. Mit dem PowerShell-Cmdlet Set-NetConnectionProfile kann man den Netzwerktyp dynamisch setzen.
Hier ein Beispielbefehl, um den Netzwerktyp auf Privat zu setzen:
Set-NetConnectionProfile -InterfaceAlias "Ethernet" -NetworkCategory Private
Ein Script könnte so beim Benutzerstart oder bei der Verbindung ausgeführt werden, womit indirekt der Standard-Netzwerktyp definiert wird. Dieses Vorgehen erfordert jedoch administrative Rechte und ist nicht als Einzeleinstellung in der GPO vorhanden.
Fazit
Es existiert keine dedizierte, native Gruppenrichtlinieneinstellung, um den Standard-Netzwerktyp in Windows per GPO festzulegen. Die Verwaltung des Netzwerkprofils erfolgt durch das Betriebssystem selbst automatisiert. Um dennoch eine zentrale Steuerung zu erreichen, empfiehlt es sich, Firewallregeln über Gruppenrichtlinien zu managen und/oder PowerShell-Skripte über GPOs auszuführen, die den Netzwerktyp aktiv setzen.
Administrationswerkzeuge und Skriptlösungen sind daher die gängige Methode, um standardisierte Netzwerkprofil-Settings in Unternehmensnetzwerken umzusetzen.