BimBamBino

Moin zusammen, 

 

ich bin aktuell etwas am verzweifeln. Ich möchte gerne die Makros in Excel in unserer Domäne (Win2019 DC) per GPO einschränken. Nun möchte ich gerne alle Makros deaktivieren bis auf digital signierte, jedoch möchte ich gerne die Einschränkung nutzen, dass die signatur von Trusted Publishern kommen muss (Require Macros to be signed by a Trusted Publisher). Um dies umzusetzen habe ich mir die aktuellen admx files runtergeladen und in den sysvol Ordner auf unserem Domänencontroller eingefügt. Eigentlich waren bei uns die Templates schon implementiert jedoch dachte ich das es hier ggf. Aktualisierungen gibt.

Ich sehe auch die Templates wie das Template "VBA Macro Notification Settings". Hier müsste nach meinem Verständnis nun wenn ich "Disable all except digitally signed" auswähle drei checkboxen kommen mit welchen diese Auswahl näher spezifiziert werden kann. Jedoch erscheinen diese Checkboxen bei mir nicht. ich habe den Server auch nochmal neugestartet da ich schon dachte das die Templates nicht gezogen wurden, aber das bringt alles nichts. 

 

Hat jemand eine idee warum die Templates bei mir wohl nicht richtig implementiert werden? 

 

Danke und Grüße

 

Vielen dank für eure Unterstützung!

 

Ich hab die Ansätze von Sunny ausprobiert, aber leider hat gpupdate /target:user nichts geändert. Und auch die GUID konnte ich nirgendwo auf dem AD finden. 

 

vor 1 Stunde schrieb daabm:

Leider hab ich nicht mehr auswendig im Kopf, wo GENAU das lokal in der Registry zu finden ist, aber mit den Infos sollte sich mal ne gute Google-Suchparty veranstalten lassen Hat auf jeden Fall was mit {C6DC5466-785A-11D2-84D0-00C04FB169F7} zu tun - das ist die GUID der Software Installation CSE.

Wenn ich daabm richtig versteh, habe ich zwei Möglichkeiten. Zum einen könnte ich in der Registry nach {C6DC5466-785A-11D2-84D0-00C04FB169F7} prüfen und den Eintrag ggf. löschen?

 

vor 1 Stunde schrieb daabm:

Ich korrigiere das mal - aber nur ein wenig. Ja, wenn man eine GPO löscht, dann ist die GPO weg. Nein, wenn man eine GPO löscht, verschwinden ihre Settings NICHT automatisch auf allen Clients. Das trifft inbsesondere zu für Ordnerumleitung und SW-Installation (und auch das inzwischzen beerdigte IEAK). Die beiden haben so ein nettes Feature, bei Ordnerumleitung "Verhalten beim Entfernen der Richtlinie", bei SW-Install "Deinstallieren, wenn außerhalb des Verwaltungsbereichs" (oder so ähnlich). Soll heißen, diese Extensions haben ein definierbares Verhalten, was passieren soll, wenn eine GPO nicht mehr da ist.

 

Und damit das funktioniert, merkt sich JEDER Client, was er über diese Settings bekommen hat, sonst kann er das ja nicht rückgängig machen, wenn die GPO weg ist.

Wäre es auch eine Möglichkeit die alte GPO aus einem Backup wieder herzustellen um diese dann zu deaktivieren? Ich bin immer sehr unsicher, wenn es darum geht,  in der Registry etwas zu löschen. 

 

vor 1 Stunde schrieb daabm:

Welches genau da fehlt, kriegt man auch über die Registry raus. Exemplarisch HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00006109C80000000000000000F01FEC\InstallProperties (die ID zwischen Products und InstallProperties ist natürlich variabel und ist die GUID des Paktes nach einer völlig abstrusen Transformation ). Hier gibt es dann den Wert LocalPackage, das ist das MSI im Installer Cache. Weiß man nun genau, zu was das gehört, kann man das ursprüngliche MSI unter diesem Namen dahin kopieren und der Uninstall klappt.

Den Entrag zu dem zu installierenden Programm konnte ich finden. Nun habe ich aber leider noch nicht verstanden was ich nun mit der Information machen muss. 

 

 

 

In dem Sysvol Ordner ist auf beiden DC's die GUID nicht zu finden. Ich habe auch den kompletten Server durchsuchen lassen aber auch da war nichts zu finden ... Auch im RSOP.MSC war leider kein Hinweis aus die besagte GPO bzw. versucht Installation zu finden. 

 

Vielen Dank für deine tatkräftige Unterstützung.

Wer suchet der findet. Nun habe ich doch etwas mehr gefunden. Folgende zwei Warnungen bekomme ich ausgegeben. Aber leider auch noch kein konkreter Hinweis auf die Gruppenrichtlinie

 

MELDUNG 1:

Die clientseitige Erweiterung "Software Installation" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen.

-System

-Provider

[ Name]Microsoft-Windows-GroupPolicy

[ Guid]{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}

EventID1112

Version0

Level3

Task0

Opcode1

Keywords0x8000000000000000

-TimeCreated

[ SystemTime]2020-02-16T19:21:01.492715100Z

EventRecordID1524

-Correlation

[ ActivityID]{ABBF821B-45B1-4ED4-80DB-4BAEAD0ED4FD}

-Execution

[ ProcessID]7292

[ ThreadID]7244

ChannelSystem

Computerxxxxx

-Security

[ UserID]S-1-5-21-3257813423-746074903-4252201171-1976

-EventData

SupportInfo11

SupportInfo25042

ProcessingMode0

ProcessingTimeInMilliseconds1765

ErrorCode1274

ErrorDescriptionDie Gruppenrichtlinienumgebung sollte die Erweiterung in der synchronen Vordergrundrichtlinienaktualisierung aufrufen.

DCName\\xxxxxxxxxx

ExtensionNameSoftware Installation

ExtensionId{c6dc5466-785a-11d2-84d0-00c04fb169f7}

 

MEDLUNG2:

Die Änderungen an den Softwareinstallationseinstellungen wurden nicht angewendet. Die Installation von Software, die von der Gruppenrichtlinie für diesen Benutzer bereitgestellt wird, wird bis zur nächsten Anmeldung verzögert, da die Änderungen vor der Anmeldung vorgenomme Fehler: %%1274

 

-System

-Provider

[ Name]Application Management Group Policy

-EventID108

[ Qualifiers]0

Level3

Task0

Keywords0x80000000000000

-TimeCreated

[ SystemTime]2020-02-16T19:21:01.490042100Z

EventRecordID1523

ChannelSystem

Computerxxx

-Security

[ UserID]S-1-5-21-3257813423-746074903-4252201171-1976

-EventData

Die Installation von Software, die von der Gruppenrichtlinie für diesen Benutzer bereitgestellt wird, wird bis zur nächsten Anmeldung verzögert, da die Änderungen vor der Anmeldung vorgenomme

1274

 

Jetzt habe ich mich auf dem Server nach der GUID-Nr. umgeschaut aber hatte leider keinen erfolgt. Die besagte GPO scheint wirklich gelöscht zu sein. 

 

Das scheint die Fehlermeldung zu sein, die durch die fehlerhaft Installation erzeugt wird. Diese Meldung kommt auch wieder nur bei dem besagten Unser an dem Client.

Im Anwendungsergenisprotokoll finde ich im benannten Zeitraum 3 Einträge. Einer davon betrifft, dass eine Windows Installer Transaktion gestartet wird und eine zweite, dass die Transaktion beendet wurde. 

Der dritte Eintrag Ist  ein Windows Error Reporting und ist vor den besagten Installationen. 

 

Genau die Installation startet nach der Anmeldung. Du meinst sich soll den Bericht einmal für den betroffenen User und für den Admin erstellen und prüfen wo die Unterschiede sind?

Danke für den Hinweis, ich habe jetzt versucht mich durch die Ereignisanzeige zu hangeln. Dabei haben ich den Namen der .msi durch xyz ersetzt. Als erstes ist mir ein SystemRestore Ereignis-ID 8216 aufgefallen:

 

Der Wiederherstellungspunkt (Prozess = "C:\WINDOWS\system32\msiexec.exe /V", Beschreibung = "Installed xyz") wird nicht erstellt, da ein vorhandener Wiederherstellungspunkt aktuell genug für die Systemwiederherstellung ist.

 

Der Fehler der erzeugt wird lautet (Quelle MSIInstaller):

Product: "xyz"-- Error 1714. The older version of "xyz" cannot be removed.  Contact your technical support group.  System Error 1612.

 und tritt ein paar sekunden später auf.

 

Als zusätzliche Information startet die Installation nicht wenn ein Administrator angemeldet wird. Lediglich bei "normalen" Benutzern tritt das Phänomen auf.

Leider sehe ich hier keinen Hinweis, woher der Befehl zur Installation kommt... Sorry ich bin in der Ereignisanzeige leider noch wenig bewandert. 

 

Moin zusammen, 

 

ich habe ein kniffliges Problem und zwar habe ich die IT eines anderen Administratoren übernommen. Nun hat er mir ein Problem hinterlassen und ich weiss nicht wirklich wie ich dieses lösen soll. 

Der alte Admin wollte eine Software per GPO ausrollen lassen. Dies scheint jedoch für Probleme gesorgt zu haben, da die Gruppenrichtlinie nirgendwo mehr zu finden ist. 

Nun habe ich aber das Problem, dass bei einer Vielzahl der Clients beim hochfahren der Versuch gestartet wird die besagte Software zu installieren, was jedoch immer scheitert und die User erstmal einige Fehlermeldungen wegklicken müssen. 

 

Hat jemand einen Ansatz für mich, wie ich den Ursprung des Installationsversuches ermitteln kann, bzw. gibt es eine Möglichkeit die Installation gezielt mit einer anderen Gruppenrichtlinie zu unterbinden? 

Teile des Programmes setzen sich auch immer wieder in den Autostart.

 

Ich bin über jeden Lösungsansatz dankbar. 

 

Beste Grüße,

BimBam