Zum Inhalt wechseln


Foto

Sicherheitszonen per Gruppenrichtlinie

Active Directory

  • Bitte melde dich an um zu Antworten
15 Antworten in diesem Thema

#1 Jordy

Jordy

    Newbie

  • 58 Beiträge

 

Geschrieben 02. Dezember 2004 - 13:10

Hallo Leute!

Eine Frage zu Gruppenrichtlinien und Sicherheitszonen.

Ich habe hier Probleme mit Access-Datenbanken auf unserem Server. Bei einem Zugriff auf die Dateien, über den Windows Explorer und ein Netzlaufwerk, behauptet Access, es wolle die Datei nicht öffnen, da sie in einer unsicheren Zone liege. Eine lokale Kopie läuft, aber ist nicht gewollt. Wenn man sich über das gesamte Netzwerk auf den server durchclickt, läuft sie auch.

Offenbar begreift das System bei einem Zugriff über ein Netzlaufwerk nicht, daß es sich bei dem Pfad um einen UNC Pfad in der Intranetzone handelt.

Nun gut, das ist nichts das Problem. Immerhin kann die Intranetzone ja erweitert werden. Lokal auf dem PC ist das simpel: Systemsteuerung->Internetoptionen->Sicherheit->Lokales Intranet->Sites->Erweitert->Servername eingeben->Hinzufügen. Schon funktioniert der Zugriff auf die Datenbankdatei. Alternativ läßt sich auch die Sicherheitsstufe für die Internetzone verringern, aber das wäre natürlich schlecht.

Jetzt will ich das aber in der ganzen Domäne verteilen. Also erstelle ich ein GPO: Benutzerkonfiguration->Windows-Einstellungen->Internet Explorer-Wartung->Sicherheit->Sicherheitszonen und Inhaltsfilter->Sicherheitszonen und Datenschutz. Dort also die Zoneneinstellungen vom Server importiert ("Weiter" klicken dann öffnet sich ein Konfigurationsfenster, das dem aus der Systemsteuerung gleicht) und entsprechend den Wünschen angepaßt, das heißt auch hier den Servernamen eingegeben.

Tja, nur kommt diese Richtlinie nicht an. Wenn man sich an der Domäne anmeldet und dort auf dem lokalen Rechner die Interneteinstellungen kontrolliert, ist nichts von den Richtlinien zu sehen. Ich vermute dieses Problemhängt mit der "Verstärkten Sicherheitskonfiguration für den Internet Explorer" zusammen. Zumindest ist in der Beschreibung der betreffenden GPO erwähnt, daß diese notwendig sei. Jetzt stellen sich mir mehrere Fragen: Im Internet ist beschrieben, diese verstärkte Sicherheitskonfiguration ließe sich nachinstallieren (Systemsteuerung->Software->Windowskomponenten), jedoch finde ich unter Windows 2000 weder dort noch sonstwo eine Möglichkeit dazu. Ich habe bisher ehrlich gesagt auch noch nicht verstanden wozu das gut sein soll und wo der Zusammenhang mit den Sicherheitzonen ist. Immerhin kennt auch das normale Windows 2000 bereits Sicherheitszonen.

Im übrigen sind die Informationen zu dem Thema mehr als dünn gestreut. Jedenfalls komme ich nicht weiter.

Gibt es eine Möglichkeit Zoneneinstellungen für Windows2000 Clients per GPO zu verteilen? Oder vielleicht einen Weg die verstärkten Sicherheitskonfiguration für den Internet Explorer nachzuinstallieren? Oder eine ganz andere Lösung für das ursprüngliche Datenbankdatei-Problem?

#2 xtragood

xtragood

    Board Veteran

  • 1.064 Beiträge

 

Geschrieben 21. Februar 2005 - 09:00

Hallo,

bei mir gibt's die gleichen Probleme. Ich möchte gerne 2 Einträge in den Trusted Sites per Gruppenrichtlinie verteilen. Leider werden diese wie schon oben beschreiben nicht verteilt und der Grund dafür liegt wohl an der verstärkten Sicherheitskonfiguration . Leider weiß ich ebensowenig, was damit gemeint ist.

Vielleicht hat jemand doch noch eine Ahnung...?!


Grüße!

"Aber für was ist das gut?"
Zitat: Ingenieur vom Advanced Computing Systems Division of IBM, 1968, zum Mikrochip


#3 Jordy

Jordy

    Newbie

  • 58 Beiträge

 

Geschrieben 21. Februar 2005 - 09:33

Hallo,

bei mir gibt's die gleichen Probleme. Ich möchte gerne 2 Einträge in den Trusted Sites per Gruppenrichtlinie verteilen. Leider werden diese wie schon oben beschreiben nicht verteilt und der Grund dafür liegt wohl an der verstärkten Sicherheitskonfiguration . Leider weiß ich ebensowenig, was damit gemeint ist.

Vielleicht hat jemand doch noch eine Ahnung...?!


Grüße!


Ich habe leider auch nichts mehr dazu herausgefunden. Ich habe das Problem erstmal umgangen, in dem ich die Einträge manuell am lokalen Rechner durchgeführt habe, aber das ist doch echt ein Witz!

#4 xtragood

xtragood

    Board Veteran

  • 1.064 Beiträge

 

Geschrieben 21. Februar 2005 - 10:34

Das ist für mich nicht akzeptabel. Ich such mal weiter nach einer Lösung.
Wenn ich was finde, poste ich's...

"Aber für was ist das gut?"
Zitat: Ingenieur vom Advanced Computing Systems Division of IBM, 1968, zum Mikrochip


#5 xtragood

xtragood

    Board Veteran

  • 1.064 Beiträge

 

Geschrieben 21. Februar 2005 - 12:27

Zur Info:

Zur Verteilung dieser Sites im Netzwerk muss die Verstärkte Sicherheitskonfiguartion für Internet Explorer installiert sein. Leider gibt's diesen Dienst nur für Windows 2003 Server.

Da wäre nun die Preisfrage, gibt es das auch für Windows XP?
Die andere Lösung wäre, einfach den Registry-Key:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A]
"*"=dword:00000002

in ein ADM-File umzuschreiben und dann in die Gruppenrichtlinien einzufügen...

Ich warte dann mal, ob's für erste Frage ne Lösung gibt und probier mal für die zweite Lösung ein ADM zu programmieren...

Grüße.

"Aber für was ist das gut?"
Zitat: Ingenieur vom Advanced Computing Systems Division of IBM, 1968, zum Mikrochip


#6 xtragood

xtragood

    Board Veteran

  • 1.064 Beiträge

 

Geschrieben 21. Februar 2005 - 15:25

Hi nochmal,

ich hab mal ein ADM-File programmiert. Bin mir aber nicht sicher, ob's auch funktioniert, da ich keine Replizierung auf den Clients verzeichnen kann...

CLASS USER

CATEGORY "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A"
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A"

 POLICY "*"
  PART "*"
  NUMERIC
  VALUENAME "*"
  END PART
 END POLICY

END CATEGORY

...das hat Regtoadm ausgespuckt, und ich hab noch eins probiert:

CLASS USER

CATEGORY "Internet Explorer Security Einstellungen"
	POLICY "Vertrauenswürdige Sites"
		KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A"
		VALUENAME "*"
		VALUEON "2"
		VALUEOFF Delete
	END POLICY
END CATEGORY

Wenn sich damit jemand auskennt, wäre prima wenn ich wüsste, ob die korrekt sind.

"Aber für was ist das gut?"
Zitat: Ingenieur vom Advanced Computing Systems Division of IBM, 1968, zum Mikrochip


#7 xtragood

xtragood

    Board Veteran

  • 1.064 Beiträge

 

Geschrieben 21. Februar 2005 - 16:11

Ok...hat nurmal wieder ein wenig gedauert...

Das richtige Script wäre dann:

CLASS USER

CATEGORY "Internet Explorer Vertrauenswürdige Sites"
	KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A"
	POLICY "L-P-A Domäne hinzufügen"
		PART "Wert" NUMERIC
			VALUENAME "*"
		END PART
	END POLICY
END CATEGORY

Wobei man den Wert für "L-P-A" natürlich durch den Wert ersetzen muss, den man aktivieren möchte...

Gruß!

"Aber für was ist das gut?"
Zitat: Ingenieur vom Advanced Computing Systems Division of IBM, 1968, zum Mikrochip


#8 Jordy

Jordy

    Newbie

  • 58 Beiträge

 

Geschrieben 22. Februar 2005 - 07:02

Ok...hat nurmal wieder ein wenig gedauert...

Das richtige Script wäre dann:

(...)

Wobei man den Wert für "L-P-A" natürlich durch den Wert ersetzen muss, den man aktivieren möchte...

Gruß!


Ok, danke. Da ich nicht weiß was ADM Scripte sind, werde ich aber vermutlich einige
Zeit brauchen um damit zurecht zu kommen :-)

#9 NeoLEX

NeoLEX

    Newbie

  • 63 Beiträge

 

Geschrieben 22. Februar 2005 - 07:46

Hallo Kollegen,

ihr habt vermutlich das GPO direkt auf einem Server erstellt und somit die Zoneneinstellungen dieses Servers importiert. Auf allen Server 2003 Systemen ist diese "verstärkte Sicherheitskonfiguration für Internet Explorer" installiert (Systemsteuerung/Software/Windows Komponenten ...). Diese Zoneneinstellungen sind nicht mit denen auf den Clients oder Servern ohne verstärkte Sicherheitskonfiguration kompatibel.

Eine Möglichkeit wäre es, auf dem Server die verstärkte Sicherheitskonfiguration zu deinstallieren und dann das GPO nochmal erstellen. Das wäre dann wieder mit den Clients kompatibel. Die verstärkten Sicherheitsrichtlinien zum Nachinstallieren auf XP Clients habe ich bisher noch nicht gesehen.

Viel Erfolg,
NeoLEX

#10 Jordy

Jordy

    Newbie

  • 58 Beiträge

 

Geschrieben 22. Februar 2005 - 10:50

Hallo Kollegen,

ihr habt vermutlich das GPO direkt auf einem Server erstellt und somit die Zoneneinstellungen dieses Servers importiert. Auf allen Server 2003 Systemen ist diese "verstärkte Sicherheitskonfiguration für Internet Explorer" installiert (Systemsteuerung/Software/Windows Komponenten ...). Diese Zoneneinstellungen sind nicht mit denen auf den Clients oder Servern ohne verstärkte Sicherheitskonfiguration kompatibel.

Eine Möglichkeit wäre es, auf dem Server die verstärkte Sicherheitskonfiguration zu deinstallieren und dann das GPO nochmal erstellen. Das wäre dann wieder mit den Clients kompatibel. Die verstärkten Sicherheitsrichtlinien zum Nachinstallieren auf XP Clients habe ich bisher noch nicht gesehen.

Viel Erfolg,
NeoLEX


Danke! Guter Hinweis! Das hat funktioniert, auch ohne Skripte.

Einziger Wehrmutstropfen ist, daß ich auf dem Server die verstärkte Sicherheitskonfiguration jetzt nicht mehr einschalten kann. Wenn ich das tue, kann ich das GPO, das die Interneteinstellungen OHNE verstärkte Sicherheitskonfiguration enthält, nicht mehr verändern, weil Windows darauf besteht sie neu zu importieren (was dann natürlich nicht mehr möglich ist).

Das heißt der Zustand der verstärkten Sicherheitskonfiguration des Servers ist an den Zustand der verstärkten Sicherheitskonfiguration seiner Clients gebunden?! Ziemlich beknackt gemacht.

#11 Darksun777

Darksun777

    Senior Member

  • 416 Beiträge

 

Geschrieben 22. Februar 2005 - 12:45

Hallo,

hm komisch, bei mir funzt es... ich habe auch via GPO die Netzlaufwerke in die Trusted Sites aufgenommen ... bei mir wird es auf die XP-Clients verteilt und es funzt ...

Kann euch aber leider nicht sagen was bei euch schief läuft :confused:

#12 Jordy

Jordy

    Newbie

  • 58 Beiträge

 

Geschrieben 22. Februar 2005 - 12:50

Hallo,

hm komisch, bei mir funzt es... ich habe auch via GPO die Netzlaufwerke in die Trusted Sites aufgenommen ... bei mir wird es auf die XP-Clients verteilt und es funzt ...

Kann euch aber leider nicht sagen was bei euch schief läuft :confused:


Ist auf deinen Clients auch die "verstärkte Sicherheitskonfiguration" installiert?

#13 xtragood

xtragood

    Board Veteran

  • 1.064 Beiträge

 

Geschrieben 23. Februar 2005 - 07:57

Zur auflösung der allgemeinen Verwirrung, nochmal:

"Verstärkte Sicherheitskonfiguration" gibt es nur für Windows 2003 Server. Ist diese dort installiert gilt die Richtlinie auch nur für weitere Server mit "Verstärkter Sicherheitskonfiguration".

Will man eine GPO auf XP Clients übertragen deinstalliert man die
"Verstärkte Sicherheitskonfiguration", oder erstellt ein .ADM-file mit meinem o.a. Code und importiert dieses in den Group Policy Editor, dann hat man beides.

"Aber für was ist das gut?"
Zitat: Ingenieur vom Advanced Computing Systems Division of IBM, 1968, zum Mikrochip


#14 Darksun777

Darksun777

    Senior Member

  • 416 Beiträge

 

Geschrieben 23. Februar 2005 - 11:59

^^ ich habe nichts von alle dem gemacht und es funktioniert trotzdem!

#15 Stormwind

Stormwind

    Newbie

  • 1 Beiträge

 

Geschrieben 03. November 2005 - 10:46

Danke! Guter Hinweis! Das hat funktioniert, auch ohne Skripte.

Einziger Wehrmutstropfen ist, daß ich auf dem Server die verstärkte Sicherheitskonfiguration jetzt nicht mehr einschalten kann. Wenn ich das tue, kann ich das GPO, das die Interneteinstellungen OHNE verstärkte Sicherheitskonfiguration enthält, nicht mehr verändern, weil Windows darauf besteht sie neu zu importieren (was dann natürlich nicht mehr möglich ist).

Das heißt der Zustand der verstärkten Sicherheitskonfiguration des Servers ist an den Zustand der verstärkten Sicherheitskonfiguration seiner Clients gebunden?! Ziemlich beknackt gemacht.



Vielleicht eine Anmerkung zu dem Topic... Ich hatte gerade selbst dass oben erwähnte Problem mit den Trusted Sites, wenn Ihr die MMC nicht vom Server öffnet sondern von eurem Admin Client auf WinXp-basis, dann müsste er eure Sicherheitseinstellungen vom XP-Client importieren und ihr könnt auf dem Domänen-Controller wieder die Sicherheitseinstellungen hochdrehen ... Ein Server ist schliesslich nicht zum surfen da :-)

bin gerade am testen ob es damit noch irgenwelche nicht bedachte Probleme gibt....

Gruss
Stormwind



Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory