Discussion:
IE --> Trusted Sites via GPO.....
(zu alt für eine Antwort)
Stefan Kerber
2007-02-07 14:35:52 UTC
Permalink
Hi NG,

kurz vor der absoluten Verzweiflung eine Frage an Euch: habe in einer W2K3
Domain mit Terminalservern (W2K3+Citrix) via GPO einige Trusted Sites
hinzugefügt. Alle TS-User übernehmen diese Policy auch brav, jedoch werden
die Sites nicht übernommen. Habe in der GPMC dazu folgende GPO benutzt:

Benutzerkonfiguration\Windows Einstellungen\Internet Explorer
Wartung(Voreinstellungsmodus)\Sicherheit\Sicherheitszonen..........

Hier habe ich nun die aktuellen Settings von meinem XP-Client importiert. In
einer weiteren GPO für die Terminalserver habe ich definiert, daß
IE-Richtlinien auch ohne Änderungen übernommen werden sollen. Zuletzt dann
noch gpupdate bzw. Neustart des TS.... leider sieht der User unter Trusted
Sites weiterhin nur die üblichen Verdächtigen (http://update.microsoft.com,
etc.)

????????

Servus & viele liebe Grüße
Stefan
Winfried Sonntag
2007-02-07 21:26:57 UTC
Permalink
Post by Stefan Kerber
kurz vor der absoluten Verzweiflung eine Frage an Euch: habe in einer W2K3
Domain mit Terminalservern (W2K3+Citrix) via GPO einige Trusted Sites
hinzugefügt. Alle TS-User übernehmen diese Policy auch brav, jedoch werden
Benutzerkonfiguration\Windows Einstellungen\Internet Explorer
Wartung(Voreinstellungsmodus)\Sicherheit\Sicherheitszonen..........
Hier habe ich nun die aktuellen Settings von meinem XP-Client importiert. In
einer weiteren GPO für die Terminalserver habe ich definiert, daß
IE-Richtlinien auch ohne Änderungen übernommen werden sollen. Zuletzt dann
noch gpupdate bzw. Neustart des TS.... leider sieht der User unter Trusted
Sites weiterhin nur die üblichen Verdächtigen (http://update.microsoft.com,
etc.)
Ich hab zwar mit Terminal Server nicht so viel am Hut, aber ich könnte
mir vostellen, es fehlt am Loopbackverarbeitungsmodus:
http://www.grurili.de/HowTo/Terminal_Server.htm
Post by Stefan Kerber
????????
Deine ?-Taste klemmt. ;-)

Servus
Winfried
--
Win2000-FAQ: http://w2k-faq.ebend.de
Richtig zitieren: http://einklich.net/usenet/zitier.htm
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm
Stefan Kerber
2007-02-08 07:42:53 UTC
Permalink
Servus....
Post by Winfried Sonntag
Ich hab zwar mit Terminal Server nicht so viel am Hut, aber ich könnte
http://www.grurili.de/HowTo/Terminal_Server.htm
nö..... das ganze spielt sich sowieso schon in einer Loopback-Policy ab, da
auf den TS natürlich andere Spielregeln für die User gelten. Aber selbst
ohne Loopback-Verarbeitung (wenn sich ein User direkt an einer WS anmeldet)
funktioniert es nicht !

viele grüße
stefan
Stefan Kerber
2007-02-08 12:58:32 UTC
Permalink
Sorry....Halt...Stop....
Post by Stefan Kerber
nö..... das ganze spielt sich sowieso schon in einer Loopback-Policy ab,
da auf den TS natürlich andere Spielregeln für die User gelten. Aber
selbst ohne Loopback-Verarbeitung (wenn sich ein User direkt an einer WS
anmeldet) funktioniert es nicht !
habe die GPO auf einer WS mit WinXP+SP2 erstellt und wenn sich der User an
einer WinXP WS anmeldet funktioniert es wunderbar. Sobald er sich aber auf
einem TS (W2K3 SP1) anmeldet werden die Trusted Sites nicht mehr angezeigt.
Dabei spielt es auch keine Rolle ob sich der User auf einem produktiven
Server (mit Loopback Policy) oder auf einem Test-Server (ohne Loopback)
anmeldet. Auf allen Servern ist die Enhanced Security des IE deaktiviert.

Habe in versch. Quellen gelesen, daß man - sofern Windows 2003 mit SP1 auf
dem TS eingesetzt wird - folgende Richtlinie benutzen kann / soll:
Benutzerkonfiguration\Administrative Vorlagen\ Windows Komponenten\Internet
Explorer\Internet Systemsteuerung\Sicherheitsseite\Liste der Seiten zur
Zonenzuordnung
Das Ergebnis ist leider das gleiche ..... :-(

Die Gruppenrichtlinienergebnisse in der GPMC zeigen aber an, daß der User
folgende Settings erhält:

Beispiel:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMapKey\www.google.de (Status 2)


Also irgendwie werden die Richtlinien zwar angezogen, aber sie schlagen dann
doch nicht in die Session des Users durch ?!?

viele Grüße
Stefan
Winfried Sonntag [MVP]
2007-02-08 16:34:32 UTC
Permalink
Post by Stefan Kerber
habe die GPO auf einer WS mit WinXP+SP2 erstellt und wenn sich der User an
einer WinXP WS anmeldet funktioniert es wunderbar. Sobald er sich aber auf
einem TS (W2K3 SP1) anmeldet werden die Trusted Sites nicht mehr angezeigt.
Dabei spielt es auch keine Rolle ob sich der User auf einem produktiven
Server (mit Loopback Policy) oder auf einem Test-Server (ohne Loopback)
anmeldet. Auf allen Servern ist die Enhanced Security des IE deaktiviert.
Kannst Du Richtlinie auf einem W2K3SP1 Server erstellen?
Post by Stefan Kerber
Die Gruppenrichtlinienergebnisse in der GPMC zeigen aber an, daß der User
Was sagt RSOP.MSC am Client?

Servus
Winfried
--
W2K-FAQ: http://w2k-faq.ebend.de/
Richtig zitieren: http://einklich.net/usenet/zitier.htm
GPO's: http://www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm
Stefan Kerber
2007-02-08 16:48:53 UTC
Permalink
Servus Winfried,
Post by Winfried Sonntag [MVP]
Was sagt RSOP.MSC am Client?
habe es gefunden ! Schuld war - auf einigen Servern - ein
Default-User-Profil welches erstellt wurde BEVOR die Enhanced Security
deaktiviert wurde. Dadurch gab es am User noch folgenden Reg-Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap
IEHarden=1

Sobald man diesen Wert auf 0 setzt greift auch sofort die IE-Policy !

vielen Dank für deine Hilfe....

servus
stefan
Winfried Sonntag [MVP]
2007-02-08 17:17:30 UTC
Permalink
Post by Stefan Kerber
Post by Winfried Sonntag [MVP]
Was sagt RSOP.MSC am Client?
habe es gefunden ! Schuld war - auf einigen Servern - ein
Durch den Aufruf von RSOP.MSC?
Post by Stefan Kerber
Default-User-Profil welches erstellt wurde BEVOR die Enhanced Security
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap
IEHarden=1
Sobald man diesen Wert auf 0 setzt greift auch sofort die IE-Policy !
vielen Dank für deine Hilfe....
Freut mich für Dich und Danke für die Rückmeldung. ;-)

Servus
Winfried
--
W2K-FAQ: http://w2k-faq.ebend.de/
Richtig zitieren: http://einklich.net/usenet/zitier.htm
GPO's: http://www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm
Loading...