GPO greift nicht

[Backdoor]

Hallo,

ich kämpfe gerade mit einer GPO für den IE7

Folgende Situation

Wir haben 1 GPO die es den Usern verbeitet Änderungen an den Trustet Sites im IE vorzunehmen. Diese gilt erst einmal für alle
Dann habe ich eine weitere GPO, die es Usern wiederum erlaubt. Diese wird nach den oberen GPO abgearbeitet und ist beschränkt auf einzelne User/Computer

Bei IE6 funzt das auch alles toll

Bei Servern mit IE7 greift die 2te GPO aber nicht

Ok dachte ich, evtl "altes" ADM File > neues ADM File für IE7 geladen > gleiches verhalten

GPResult sagt mir aber der Server würde die GPO anwenden > tut er aber nicht
Auch kein Event-Log Eintrag vorhanden


hat jemand noch ne Idee wie ich prüfen kann wieso weshalb warum es nicht geht??

thx vorab

[HerrPaschulke]

liegt der Client in der selben OU wie der Server? Haben alle Server dieses Problem? Sicher dass nicht ein Sicherheitsfilter sitzt der die Übernahme der GPO für deinen Server verhindert? evtl. mal gpresult hier posten und Name der GPO angeben...
oder sitzt vielleicht ein GPO-Block auf der OU in der der Server ist?

oder hast du alle computers (clients und server) in der gleichen OU?

[Backdoor]

Hallo, ich bins nochmal

War busy, von daher kann ich mich erst jetzt wieder melden.

Ok, folgendes habe ich gemacht:

Ich habe ein Client (mit IE6) in eine OU verschoben und dort die GPO mit dem verbot Trustet Sites verknüpft > funzt
Dann habe ich eine weiter GPO verküpft die es wieder erlaubt Trustet Sites zu bearbeiten > funzt auch (user an dem Client können Sites hinzufügen

Dann habe cih den IE7 über windows Update auf dem Client installiert

Jetzt können die User die Trustet Sites nicht mehr bearbeiten

Wat'n da los???

einer noch eine Idee??

[Sunny61]

Dann würde ich die ADM vom IE7 importieren und das dann dort einstellen.

[NorbertFe]

Zitat von Backdoor Jetzt können die User die Trustet Sites nicht mehr bearbeiten Wat'n da los??? einer noch eine Idee??

Klar definier es doch mal nicht in der Internet Explorerwartung, sondern mit dem inetres.adm.

Schau mal unter Benutzereinstellungen/Administrative Vorlagen/Windows Komponenten/Internetsystemsteuerung.

Bye
Norbert

[Backdoor]

Hi

@Sunny61: hab ich gemacht, macht keinen unterschied


@NorbertFe: Da kann ich das aber nicht einstellen, dort kann ich die Reiter deaktivieren

ich habe in der obersten GPO folgendes eingestellt:

Computerconfiguration > Administrative Vorlagen > Windows Komponenten > Internet Explorer:
Sicherheitszonen: Benutzer können keine Einstellungen vornehmen > Aktiviert
Sicherheitszonen: Benutzer können keine Sites hinzufügen > Aktiviert

Das funzt soweit auch alles

Dann habe ich eine neue Richtlinie erzeugt, die die beiden o.g. Pukte deaktiviert

Das geht nicht

Die Reihenfolge der GPO's ist auch ok > Erst die deny und dann wird die allow abgearbeitet (gem gpresult)

komisch, oder

[NorbertFe]

Zitat von Backdoor Computerconfiguration > Administrative Vorlagen > Windows Komponenten > Internet Explorer: Sicherheitszonen: Benutzer können keine Einstellungen vornehmen > Aktiviert Sicherheitszonen: Benutzer können keine Sites hinzufügen > Aktiviert Das funzt soweit auch alles

Dann habe ich eine neue ComputerRichtlinie erzeugt, die die beiden o.g. Pukte deaktiviert

OK.

Das geht nicht Die Reihenfolge der GPO's ist auch ok > Erst die deny und dann wird die allow abgearbeitet (gem gpresult)

Was soll deiner Meinung nach denn der arme Computer jetzt tun? Erst verbietest du ihm was und danach erlaubst du etwas.

komisch, oder

Nö. Wieso?

Bye
Norbert

[Edit]Hab grad gesehen, dass du Sicherheitsfilterung verwendest. Da du aber sowohl von Computern und Usern sprichst, wäre es nett, wenn du kurz mal dein Konstrukt aufzeichnen (ASCII) könnest.[/Edit]

[Backdoor]

Hallo,

sorry für die Späte Antwort, ging leider nicht früher.

Habe das soweit schon mal eingrenzen können, dass wenn man Einträge bei "Liste der Site zu Zonenzuweisung" die EInstellungen ausgegraut werden.
Muss halt noch ein bischen testen.

Habe aber erst einmal ein dringenderes Problem welches auch mit den Trustet Sites zusammen hängt.

Wir haben bei uns noch W2K und XP am Start.

Jetzt habe ich in einer GPO Vertrauenswürdige Seiten eingetragen, die bei den XP Clients auch eingetragen werden, Leider bei den W2K Clients nicht

Bei den XP Clients werden die Sites unter folgendem Key in der Registry eingetragen

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey

bzw

HKEY_Local_Machine\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKEY_Local_Machine\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey

je nachdem ob user oder Computer einstellung

Bei dem W2K Client (IE6) gibt es nur den Eintrag

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey
(in dem auch die Einträge auch als Zeichenfolge drinne stehen)

aber es werden keine Trustet Sites angezeigt

Wenn ich aber per Hand einen Eintrag unter

HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

mache, werde diese im IE angezeigt

Wie kreige ich das jetzt hin, dass ich unter W2K auch meine Trustet Sites habe?

Hat dazu jemand eine Idee???