Ipv6 disable windows gpo — Ваш верный помощник с OS Windows

Прочитано: 8 270

Сегодня, а теперь и в повседневности я хочу раз и навсегда разобрать и применить отключение IPv6 на рабочих станциях семейства Windows редакции 7 так и серверной платформы (Windows Server 2008/R2). До этого я использовал простой bat-файл в котором производил данные манипуляции:

rem отключаем ненужные интерфейсы

netsh interface teredo set state disabled
netsh interface isatap set state disabled

rem отключаем ipv6 из системы

reg add HKLM\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters /v DisabledComponents /t REG_DWORD /d 4294967295 /f

rem отключаем службу 6to4

netsh in 6to4 set state disabled

,но это все ручной труд, пусть единый центр управления, в частности «Групповые политики» встанут на службу, а меня избавят от однообразия. Хотя уже форматирую данную заметку подумал, а ведь можно же объединить и скрипт и данную заметку все воедино.

Итого, сегодня будут представлены действия которые нужно проделать на домен контроллере (srv-dc.polygon.local) под управлением Windows Server 2008 R2 Enterprise SP1 чтобы отключить ipv6.

Вот еще что, в групповых политиках по умолчанию нет функциональной возможности управлять настройками IPv6, а вследствие этого нужно взять вот IPv6 Configuration for Group Policy Management (md5sum которых)

a4d7ed4ded539f2271cda1fe21f4e277 IPv6Configuration.adml

ba28c51ec2018fe0e77f7b3d9f67334a IPv6Configuration.admx

и добавить их в свою оснастку Group Policy Management, делается это следующим образом:

Через командную строку запущенную с правами администратора:

C:\Windows\system32>xcopy.exe /Y c:\IPv6Configuration.admx %systemroot%\PolicyDefinitions

C:\IPv6Configuration.admx

1 File(s) copied

C:\Windows\system32>xcopy /Y c:\IPv6Configuration.adml %systemroot%\PolicyDefinitions\en-US

C:\IPv6Configuration.adml

1 File(s) copied

Start — Control Panel — Administrative Tools — Group Policy Management, после разворачиваю:

Group Policy Management — Forest: polygon.local — Domains — polygon.local — выбираю контейнер на который хочу настроить политику, к примеру это будет OU=IT где располагаются компьютеры сотрудников информационного отдела и через правый клик мышью: Create a GPO in this domain, and Link it here…

Name: GPO_IPv6_Disable
Source Starter GPO: (none)

После на созданной групповой политике открываю настройки (EDIT) и вношу следующие изменения:

GPO_IPv6_Disable [srv-dc.polygon.local] — Computer Configuration — Policies –

Administrative Templates — Network — и вот новый компонент настройки: IPv6 Configuration

открываю настройку: IPv6 Configuration Policy и привожу к виду:

Enable: Disable all IPv6 components

После не забываю сохранить внесенные изменения: Apply — OK.

Также следует проверить, что созданная групповая политика нацелена на:

OU = IT
Security Filtering = на компьютере или группа с именами компьютеров внутри.

т. е. Вот так для наглядности привожу здесь пример:

Чтобы изменения до компьютеров в данном организационном подразделении дошли им просто нужно перезагрузиться свои рабочие места, либо же если Вы делаете данную настройку на всю организацию политика применится если до этого на все компьютеры была настроена политика о автоматическом выключении рабочих компьютеров в конце рабочего дня, как это сделано у меня.

И действительно загрузившись в рабочей операционной системе, в частности Windows 7 (x86/x64) поддержки ipv6 больше нет, что мне и нужно было. А на Windows 10 переходить пока не вижу смысла, тяжело переучивать и без того далеких от компьютера мир пользователей. Итого лучшее средство системного администратора это групповые политики если речь идет об Active Directory, а уже потом скрипты, но на первом месте желание сделать чтобы всем было хорошо предварительно оттестировав шаги, как делаю всегда Я. А уже только потом в продакшн. На этом я прощаюсь и до новых встреч, с уважением автор блога — ekzorchik.

Источник

IPv6Configuration.admx — Copy this file to %SYSTEMROOT%\PolicyDefinitions
IPv6Configuration.adml — Copy this file to %SYSTEMROOT&\PolicyDefinitions\en-US (Replace en-US with your country’s language, as necessary)

Now use the Group Policy Management Console (GPMC) to configure the IPv6 settings.

For example, right click on Default Domain Policy and click Edit.

The new policy will be located under Computer Configuration > Policies > Administrative Templates > Network > IPv6 Configuration.

Read Explain tab.

Here, you can configure the following IPv6 settings:

Enable all IPv6 components (Windows default)
Disable all IPv6 components (the setting you probably want)
Disable 6to4
Disable ISATAP
Disable Teredo
Disable Teredo and 6to4
Disable all tunnel interfaces
Disable all LAN and PPP interfaces
Disable all LAN, PPP and tunnel interfaces
Prefer IPv4 over IPv6

Testing with Domain Controller 2008 and Windows 7 Client.

Edit Default Domain Policy, go to Computer Configuration > Policies > Administrative Templates > Network > IPv6 Configuration, Open IPv6 Configuration Policy and set on Disable all IPv6 componentsand click OK.

Run GPUPDATE /FORCE.

Now, run IPCONFIG /ALL on Windows 7 before Restarting.

Now, Restart Windows 7 and run IPCONFIG /All again.

Additional Info:

Navigate to the following registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents(32-bit DWORD value)

Configuration combination                        DisabledComponents value
Disable all tunnel interfaces                              0x01
Disable 6to4                                               0x02
Disable ISATAP                                             0x04
Disable Teredo                                             0x08
Disable all LAN and PPP interfaces                         0x10
Disable all LAN, PPP, and tunnel interfaces                0x11
Prefer IPv4 over IPv6                                      0x20
Disable Teredo and 6to4                                    0xA
Disable IPv6 over all interfaces and prefer IPv4 to IPv6   0xFF

Important:

Before disable IPv6 on Windows Server 2008 or 2008 R2 or SBS 2008 and …, please read this article:

Should I Disable IPv6? No… (Ace Fekay — MVP)

Источник

Disable IPV6 for Domain Network via Group Policy Object

Disabling IPV6 for your Domain Network is crucial for network management and security. In this tutorial, we will guide you through the process of disabling IPV6 using Group Policy Object (GPO). This involves downloading ADMX and ADML files and configuring them in Windows Server to effectively manage your domain network settings.

Watch the Video Tutorial on How to Disable IPV6

Step-by-Step Guide to Disable IPV6 for Domain Network

Follow these steps to disable IPV6 for your domain network:

Download the necessary ADMX and ADML files from the following links:
- Technet Article
- EXPTA Blog
- Microsoft Support
Import the files into your Windows Server GPO to manage domain network settings.
Configure the settings to disable IPV6 for your domain computers, ensuring a streamlined network environment.

Benefits of Disabling IPV6 for Domain Networks

Disabling IPV6 can help improve network performance and security. By managing your network settings through GPO, you can ensure that all domain computers adhere to the same configuration, reducing the risk of misconfigurations and potential security vulnerabilities.

Related Blog Posts for Further Reading

Deploy OneDrive via Group Policy: A Comprehensive Guide
Windows Server Active Directory Installation and Setup Tutorial: A Beginner’s Guide
Block USB and Removable Storage Access using Windows Server Group Policy
Hyper-V Windows Server Installation Guide

Источник

Отключаем IPv6 через групповые политики AD

Жалоба
Цитата

Сообщение

UncleFather » 24 мар 2024 09:45, Вс

Задача:

Необходимо отключить протокол IPv6 в каком-либо OU (подразделении) домена Active Directory. Встроенные политики для этого отсутствуют.

Решение:

Импортируем готовый шаблон политики конфигурации IPv6:

IPv6Configuration.zip: (1.83 КБ) 297 скачиваний

Подробности об этом шаблоне можно почитать в статье Отключить IPv6 через Group Policy

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Источник

Как известно, протокол IP версии 6 (IPv6) появился еще в Windows Vista. Но в большинстве случаев, в локальной сети, он просто не используется. Так же он может создавать паразитный трафик в сети, что приводит к ее нагрузки, поэтому его необходимо отключить.

В домене это сделать очень просто, а вот если домена у вас нет, то придется ходить и ручками прописывать параметр в реестре (см. конец статьи).

Для начала необходимо скачать файлы IPv6Configuration.zip

После чего добавить их в шаблоны AD:

IPv6Configuration.admx — копируем в %SYSTEMROOT%\PolicyDefinitions
IPv6Configuration.adml — копируем %SYSTEMROOT&\PolicyDefinitions\en-US (Замените en-US на ваш язык, например Ru-RU)

Теперь необходимо открыть Group Policy Management Console (GPMC) что бы сконфигурировать новую политику.

Для примера, кликните правой кнопкой мыши на Default Domain Policy и выберите Изменить.

Новая политика находится Конфигурация компьютера\Политики\Административные шаблоны\Сеть\ IPv6 Configuration.

Прочитайте описание:

Здесь вы сможете выбрать:

Enable all IPv6 components (Windows default)
Disable all IPv6 components (the setting you probably want)
Disable 6to4
Disable ISATAP
Disable Teredo
Disable Teredo and 6to4
Disable all tunnel interfaces
Disable all LAN and PPP interfaces
Disable all LAN, PPP and tunnel interfaces
Prefer IPv4 over IPv6

Редактируем Default Domain Policy, Переходим в Computer Configuration > Policies > Administrative Templates > Network > IPv6 Configuration, открываем IPv6 Configuration Policy и устанавливаем значение на Disable all IPv6 components после нажимаем OK.

На тестовом компьютере запускаем командную строку(CMD) и выполняем GPUPDATE /FORCE.

Проверяем IPCONFIG /ALL, до перезагрузки Windows.

Перезагружаемся и снова выполняем IPCONFIG /ALL

Отключение протокола IPv6 происходит за счет записи ветки в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents (32-bit DWORD value)

Configuration combination                        DisabledComponents value
Disable all tunnel interfaces                                         0x01
Disable 6to4                                                                 0x02
Disable ISATAP                                                            0x04
Disable Teredo                                                             0x08
Disable all LAN and PPP interfaces                               0x10
Disable all LAN, PPP, and tunnel interfaces                    0x11
Prefer IPv4 over IPv6                                                     0x20
Disable Teredo and 6to4                                                0xA
Disable IPv6 over all interfaces and prefer IPv4 to IPv6      0xFF

Источник

Disable IPV6 for Domain Network via Group Policy Object

Watch the Video Tutorial on How to Disable IPV6

Step-by-Step Guide to Disable IPV6 for Domain Network

Benefits of Disabling IPV6 for Domain Networks

Related Videos on Windows Server Management

Related Blog Posts for Further Reading

Отключаем IPv6 через групповые политики AD