Ich noch mal,
mittlerweile habe ich das Problem als Case bei Microsoft geöffnet. Nun sind die MS-Freaks an der Lösung dran.
Hier die letzten Erkenntnisse und meine Problembeschreibung:
"...
Client: MS WinXP Prof. SP3, IE7, sonst aktuell via WSUS
Server: MS W2K3 R2 SP2 Standard, IE7, sonst aktuell via WSUS
Domänen lokal: stamm.de
Sub-Domäne lokal: sub.stamm.de
Problembezug: DFS-Share und auch jedes andere Share, welches durch einen beliebigen Server zur Verfügung gestellt wird
Via GPO werden die Sicherheitszonen für den IE (und auch Explorer) zentral zur Verfügung gestellt. Die GPO werden auf den Clients erfolgreich angewendet, die Einstellungen sind (grau hinterlegt) an den entsprechenden Stellen angezeigt. So wird z.B. "sub.stamm.de" und auch "*.sub.stamm.de", (auch getestet mit "*.stamm.de" und "file://sub.stamm.de") in die Zone 2 (lokales Intranet) hinzugefügt. Weiterhin wird z.B. der DFS-Share "\\sub.stamm.de\share" auf jeden Client als Laufwerk I: via CMD gemappt (VBS auch getestet). Nun erscheint beim Öffnen des Laufwerkes I: über den Explorer oder über direkten Aufruf in der Statuszeile unten rechts der Ausdruck "Internet" statt "lokales Intranet". Wenn ich den Share direkt über Start->Ausführen aufrufe erscheint RICHTIG "lokales Intranet". Dieses Verhalten ist auch bei allen anderen Shares (keine DFS) zu beobachten.
Weiterhin konnte nach einem Test beobachtet werden, dass RICHTIG "lokales Intranet" erscheint, wenn man in dem GPO die Zoneneinstellungen nicht aktiviert und die Zonen dann auf dem Client manuell hinzufügt. Dann ist übrigens in der Sicherheitszonen auch "sub.stamm.de" oder "file://sub.stamm.de" zu sehen.
Vermutung: Bei der zentralen Definition von Sicherheitszonen via GPO und deren Verteilung auf die Clients werden die Zonen nicht oder falsch erkannt oder falsch interpretiert.
..."
Ich halte euch auf dem Laufenden...
Mirko