GPO greift nicht

[Backdoor 10]

Hallo,

 

ich kämpfe gerade mit einer GPO für den IE7

 

Folgende Situation

 

Wir haben 1 GPO die es den Usern verbeitet Änderungen an den Trustet Sites im IE vorzunehmen. Diese gilt erst einmal für alle

Dann habe ich eine weitere GPO, die es Usern wiederum erlaubt. Diese wird nach den oberen GPO abgearbeitet und ist beschränkt auf einzelne User/Computer

 

Bei IE6 funzt das auch alles toll

 

Bei Servern mit IE7 greift die 2te GPO aber nicht :mad:

 

Ok dachte ich, evtl "altes" ADM File > neues ADM File für IE7 geladen > gleiches verhalten :mad:

 

GPResult sagt mir aber der Server würde die GPO anwenden > tut er aber nicht

Auch kein Event-Log Eintrag vorhanden

 

 

hat jemand noch ne Idee wie ich prüfen kann wieso weshalb warum es nicht geht??

 

thx vorab

[HerrPaschulke 10]

liegt der Client in der selben OU wie der Server? Haben alle Server dieses Problem? Sicher dass nicht ein Sicherheitsfilter sitzt der die Übernahme der GPO für deinen Server verhindert? evtl. mal gpresult hier posten und Name der GPO angeben...

oder sitzt vielleicht ein GPO-Block auf der OU in der der Server ist?

 

oder hast du alle computers (clients und server) in der gleichen OU?

[Backdoor 10]

Hallo, ich bins nochmal

 

War busy, von daher kann ich mich erst jetzt wieder melden.

 

Ok, folgendes habe ich gemacht:

 

Ich habe ein Client (mit IE6) in eine OU verschoben und dort die GPO mit dem verbot Trustet Sites verknüpft > funzt

Dann habe ich eine weiter GPO verküpft die es wieder erlaubt Trustet Sites zu bearbeiten > funzt auch (user an dem Client können Sites hinzufügen

 

Dann habe cih den IE7 über windows Update auf dem Client installiert

 

Jetzt können die User die Trustet Sites nicht mehr bearbeiten :confused::mad:

 

Wat'n da los???

 

einer noch eine Idee??

[Sunny61 773]

Dann würde ich die ADM vom IE7 importieren und das dann dort einstellen.

[NorbertFe 1.836]

 

Jetzt können die User die Trustet Sites nicht mehr bearbeiten :confused::mad:

 

Wat'n da los???

 

einer noch eine Idee??

 

Klar definier es doch mal nicht in der Internet Explorerwartung, sondern mit dem inetres.adm.

 

Schau mal unter Benutzereinstellungen/Administrative Vorlagen/Windows Komponenten/Internetsystemsteuerung.

 

Bye

Norbert

[Backdoor 10]

Hi

 

@Sunny61: hab ich gemacht, macht keinen unterschied :mad:

 

 

@NorbertFe: Da kann ich das aber nicht einstellen, dort kann ich die Reiter deaktivieren

 

ich habe in der obersten GPO folgendes eingestellt:

 

Computerconfiguration > Administrative Vorlagen > Windows Komponenten > Internet Explorer:

Sicherheitszonen: Benutzer können keine Einstellungen vornehmen > Aktiviert

Sicherheitszonen: Benutzer können keine Sites hinzufügen > Aktiviert

 

Das funzt soweit auch alles

 

Dann habe ich eine neue Richtlinie erzeugt, die die beiden o.g. Pukte deaktiviert

 

Das geht nicht

 

Die Reihenfolge der GPO's ist auch ok > Erst die deny und dann wird die allow abgearbeitet (gem gpresult)

 

komisch, oder

[NorbertFe 1.836]

Computerconfiguration > Administrative Vorlagen > Windows Komponenten > Internet Explorer:

Sicherheitszonen: Benutzer können keine Einstellungen vornehmen > Aktiviert

Sicherheitszonen: Benutzer können keine Sites hinzufügen > Aktiviert

 

Das funzt soweit auch alles

 

Dann habe ich eine neue ComputerRichtlinie erzeugt, die die beiden o.g. Pukte deaktiviert

 

OK.

 

Das geht nicht

 

Die Reihenfolge der GPO's ist auch ok > Erst die deny und dann wird die allow abgearbeitet (gem gpresult)

 

Was soll deiner Meinung nach denn der arme Computer jetzt tun? Erst verbietest du ihm was und danach erlaubst du etwas. ;)

 

 

komisch, oder

 

Nö. Wieso?

 

Bye

Norbert

 

[Edit]Hab grad gesehen, dass du Sicherheitsfilterung verwendest. Da du aber sowohl von Computern und Usern sprichst, wäre es nett, wenn du kurz mal dein Konstrukt aufzeichnen (ASCII) könnest.[/Edit]

[Backdoor 10]

Hallo,

 

sorry für die Späte Antwort, ging leider nicht früher.

 

Habe das soweit schon mal eingrenzen können, dass wenn man Einträge bei "Liste der Site zu Zonenzuweisung" die EInstellungen ausgegraut werden.

Muss halt noch ein bischen testen.

 

Habe aber erst einmal ein dringenderes Problem welches auch mit den Trustet Sites zusammen hängt.

 

Wir haben bei uns noch W2K und XP am Start.

 

Jetzt habe ich in einer GPO Vertrauenswürdige Seiten eingetragen, die bei den XP Clients auch eingetragen werden, Leider bei den W2K Clients nicht

 

Bei den XP Clients werden die Sites unter folgendem Key in der Registry eingetragen

 

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

 

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey

 

bzw

 

HKEY_Local_Machine\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

 

HKEY_Local_Machine\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey

 

je nachdem ob user oder Computer einstellung

 

Bei dem W2K Client (IE6) gibt es nur den Eintrag

 

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey

(in dem auch die Einträge auch als Zeichenfolge drinne stehen)

 

aber es werden keine Trustet Sites angezeigt

 

Wenn ich aber per Hand einen Eintrag unter

 

HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

 

mache, werde diese im IE angezeigt

 

Wie kreige ich das jetzt hin, dass ich unter W2K auch meine Trustet Sites habe?

 

Hat dazu jemand eine Idee???