सार्वजनिक रूप से "DomainAuthenticated" से विंडोज नेटवर्क प्रोफाइल बदलना

मेरे पास Windows Server 2012 R2 बॉक्स में एक डोमेन शामिल है जिसमें OpenVPN 2.3.13 क्लाइंट सॉफ़्टवेयर स्थापित है। जब वीपीएन कनेक्शन सक्रिय होता है "ईथरनेट 2" (टीएपी इंटरफ़ेस) कनेक्शन को एनएलए द्वारा मुख्य लैन एनआईसी के साथ डोमेन नेटवर्क श्रेणी में रखा जाता है। आदर्श रूप से मैं वीपीएन इंटरफ़ेस को सार्वजनिक श्रेणी में निर्दिष्ट करने में सक्षम होना चाहता हूं। मैंने PowerShell के माध्यम से कोशिश की है, लेकिन इस त्रुटि को लगातार प्राप्त करें:

निम्न संभावित कारणों में से एक के कारण NetworkCategory सेट करने में असमर्थ: PowerShell को ऊंचा नहीं चलाना; NetworkCategory को 'DomainAuthenticated' से नहीं बदला जा सकता है; NetworkCategory में उपयोगकर्ता द्वारा किए गए परिवर्तनों को समूह नीति सेटिंग 'नेटवर्क सूची प्रबंधक नीतियों' के कारण रोका जा रहा है। लाइन में: 1 char: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + श्रेणीइन्फो: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullQualifiedErrorId: MI RESULT 2, सेट- NetConnectionProfile

15 "ईथरनेट 2" का इंटरफ़ेस नंबर है

इसके ध्यान देने योग्य है, मैं एक उन्नत पावरस्ले सत्र में इस कमांड को चला रहा हूं और मैंने सभी उपलब्ध जीपीओ नीतियों की कोशिश की है, लेकिन त्रुटि लगातार फेंक दी जाती है। एनएलए के बारे में अधिकांश जानकारी निजी और सार्वजनिक के बीच स्विच करने का सुझाव देती है लेकिन काम करना चाहिए, लेकिन DomainAuthenicated थोड़ा अलग लगता है।

रजिस्ट्री पद्धति में ईथरनेट 2 के लिए एक वास्तविक प्रोफ़ाइल नहीं है, इसलिए इसे या तो इस तरह से नहीं बदला जा सकता है।

वैसे भी TAP अडॉप्टर को सार्वजनिक करने के लिए बाध्य करना है? OpenVPN कनेक्शन मुख्य एनआईसी के डिफ़ॉल्ट गेटवे को ओवरराइड नहीं करता है और 10.0.0.0/8 सबनेट का उपयोग करता है। तथ्य यह है कि मैं route-nopullमार्गों का उपयोग करता हूं और ओवरराइड करता हूं समस्या का हिस्सा हो सकता है जिस तरह से एनएलए नेटवर्क का पता लगाता है।

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

सार्वजनिक प्रोफ़ाइल को असाइन करने की आवश्यकता का मुख्य कारण फ़ायरवॉल नियमों के लिए है, मुझे केवल वीपीएन इंटरफ़ेस का उपयोग करने से कुछ अनुप्रयोगों को रोकने में परेशानी हो रही है, नेटवर्क प्रोफ़ाइल आधारित फ़ायरवॉल नियम लिखने में सक्षम होने के कारण इस मामले में सबसे अच्छा काम करने की कोशिश की गई है, मैंने कोशिश की है। स्थानीय आईपी पते के आधार पर नियम लिखना लेकिन यह काम नहीं किया।

— जेम्स व्हाइट
स्रोत

user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies

- ऐसा लगता है कि उपयोगकर्ता द्वारा शुरू किए गए परिवर्तनों को समूह नीति के माध्यम से रोका गया है। उपयोगकर्ता को परिवर्तनों को शुरू करने की अनुमति देने के लिए, GPO को अनुमति देने के लिए कॉन्फ़िगर करने की आवश्यकता होती है। क्या आपने डोमेन GP स्थित किया है जहां यह कॉन्फ़िगर किया गया है?

— जोकेवेटी

@joeqwerty मैंने GPO में स्थानीय रूप से और कंप्यूटर कॉन्फ़िगरेशन / विंडोज सेटिंग्स / सुरक्षा सेटिंग्स / नेटवर्क सूची प्रबंधक नीतियों पर डोमेन के माध्यम से देखा है, सेटिंग्स में से कोई भी परिवर्तन की अनुमति नहीं देता है।

— जेम्स व्हाइट

ऐसा लगता है कि आपका उन्नत खाता NetworkCategory को बदलने का अधिकार नदारद है। आपको इसे जोड़ने या उस पर प्रतिबंध हटाने / हटाने की आवश्यकता हो सकती है। technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx । लेकिन ऐसा लगता है कि आप केवल 'अज्ञात' नेटवर्क के लिए उपयोगकर्ता अनुमति ऑब्जेक्ट सेट कर सकते हैं।

— 23

इसके अलावा,

When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.

क्या यह वीपीएन का संपूर्ण बिंदु नहीं है? यदि आप वीपीएन उपयोगकर्ताओं के लिए सुरक्षा बढ़ाना चाहते हैं, तो उनकी सेटिंग्स को DomainAuthenticatedश्रेणी में और यहां तक कि उच्च में सेट करें Public।

— 23

मैंने यह संशोधित करने की कोशिश की है कि जीपीओ यह परिवर्तन को अभी भी अनुमति नहीं देता है, स्थानीय स्तर पर और डोमेन नीति के माध्यम से और चल gpupdate /forceरहा है मैं उस त्रुटि को गोल नहीं कर सकता, चाहे मैं किसी भी सेटिंग में बदलूं।

— जेम्स व्हाइट

जवाबों:

नीचे WMI / CIM का उपयोग किया जाएगा।

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

— टिम हर्ट्ज़
स्रोत

क्षमा करें, वही त्रुटि मिली। यह त्रुटि है यदि आप प्रयास करते हैं और इसे DomainAuthenticated पर सेट करते हैं।

— टिम हेंट्ज़

सेट-उद्देश्य: 'DomainAuthenticated' के लिए NetworkCategory सेट करने में असमर्थ। यह NetworkCategory प्रकार स्वचालित रूप से तब सेट किया जाएगा जब किसी डोमेन नेटवर्क के लिए प्रमाणित हो। लाइन में: 1 char: 124 + ... lias = 'ईथरनेट 2' "| सेट-सिम इनस्टेंस -प्रॉपर्टी @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ श्रेणी: अमान्य: -C imInstance], CimException + FullQualifiedErrorId: MI RESULT 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan CeCommand

— टिम हर्ट्ज

दुर्भाग्यवश, मुझे अभी भी डोमेन नीतियों में परिवर्तन को रोकने के संबंध में वही त्रुटि है, जैसा कि मैं पहले की तरह PowerShell Admin के रूप में चला रहा हूं। इस मामले में मैं ईथरनेट 2 को DomainAuthenicated पर सेट होने से दूर ले जाने की कोशिश कर रहा हूं, लेकिन ऐसा लगता है कि मेरे मामले में यह मजबूर है और इसे बदला नहीं जा सकता।

— जेम्स व्हाइट

@Pandorica जैसा कि आपने उल्लेख किया है, ऐसा प्रतीत होता है कि एक बार जब आप एक डोमेन से जुड़ते हैं, तो NetworkCategory को DomainAuthenticated में लॉक कर दिया जाता है।

— टिम हर्ट्ज

मैं अपनी खोजों में भी उस लेख के पार आया हूँ। हालांकि ज्यादातर मामलों में, यह उल्टा लगता है कि मैं जो हासिल करने की कोशिश कर रहा हूं, वह DomainAuthenped के बजाय स्विचिंग से है। मुझे बस इसे स्वीकार करना पड़ सकता है संभव नहीं।

— जेम्स व्हाइट

अपने DNS सर्वर के पतों को सुनने की सूची से 'पब्लिक' एडॉप्टर के एडिटर्स को हटाने से यह ट्रिक काम करेगा।

— एडु स्कोल
स्रोत

इस पृष्ठ पर तीसरे विकल्प "फायरवाल का उपयोग करना" की समीक्षा करें: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

आप Windows सेवा "नेटवर्क स्थान जागरूकता" को अवरुद्ध करने के लिए एक आउटबाउंड नियम बनाने के लिए Windows फ़ायरवॉल का उपयोग करके DomainAuthenticated नेटवर्क प्रोफ़ाइल को रोक सकते हैं। नियम में वीपीएन एडॉप्टर के स्थानीय आईपी को निर्दिष्ट करना सुनिश्चित करें ताकि यह अन्य एडेप्टर को प्रभावित न करे। वीपीएन एडाप्टर को अब "सार्वजनिक" नेटवर्क प्रोफाइल के रूप में वर्गीकृत किया जाना चाहिए।

— user474264
स्रोत