silke441 10 Geschrieben 31. Oktober 2012 Melden Geschrieben 31. Oktober 2012 Hallo, ich habe eine Proxy GPO in der "root-Ebene" eingefügt.(mit Erzwungen) Wie kann ich diese in einem weit darunter befindlichen Ordner "deaktivieren"? Denn diese Rechner dürfen nicht surfen. Liebe Grüsse Silke
Dukel 468 Geschrieben 31. Oktober 2012 Melden Geschrieben 31. Oktober 2012 Wenn Rechner nicht ins Internet dürfen dann nutze einen Transparenten oder Zwangs Proxy und schließe dort die Rechner aus. Einen Proxy manuell eintragen kann du sonst nicht verhindern. Außerdem wieso mit Erzwungen?
silke441 10 Geschrieben 31. Oktober 2012 Autor Melden Geschrieben 31. Oktober 2012 Hi, wurde so von extern eingerichtet. Nun möchte ich aber ein paar ausnahmen schaffen. Kann auch an den Proxys nicht "rütteln". mir reicht es wenn der proxy eintrag einfach raus geht per GPO. Nur keine Ahnung wie. Denke die erste GPO ist die Dominante. Oder?? kann man eine Ausnahme definieren? Gruß Silke
Sunny61 833 Geschrieben 31. Oktober 2012 Melden Geschrieben 31. Oktober 2012 Ist der Proxy in der Default Domain Policy eingetragen? Wenn ja, dann nimm ihn dort raus und erstelle ein eigenes GPO. Das kannst Du dann auf verschiedene OUs verlinken. Sollen ein paar Clients den Proxy nicht bekommen, kannst Du sie über die Mitgliedschaft in einer Sicherheitsgruppe, am lesen und übernehmen des GPO hindern.
silke441 10 Geschrieben 31. Oktober 2012 Autor Melden Geschrieben 31. Oktober 2012 Hi, danke für die Antwort. Wie müsste ich das mit der Sicherheitsgruppe machen? Liebe Grüsse Silke
Sunny61 833 Geschrieben 31. Oktober 2012 Melden Geschrieben 31. Oktober 2012 Sicherheitsgruppe im AD erstellen, Computerkonten rein. In dem GPO im Reiter Delegierung, ganz rechts unten auf Erweitert klicken. Sicherheitsgruppe hinzufügen, und Lesen auf Verweigern setzen. Achtung! Immer genau hinsehen für wen man gerade Verweigern setzt! Neustart der Clients durchführen. Am besten vorher mit einem oder zwei Clients testen.
silke441 10 Geschrieben 31. Oktober 2012 Autor Melden Geschrieben 31. Oktober 2012 hi, irgendwie zieht er sich die GPO trotzdem :confused: Gruß Silke
Sunny61 833 Geschrieben 2. November 2012 Melden Geschrieben 2. November 2012 irgendwie zieht er sich die GPO trotzdem :confused: Was soll man darauf antworten? Irgendwie ist heute alles komisch. :) Wer ist er? Was genau hast Du gemacht? Welche GPOs kommen auf dem 'er' an? GPRESULT /H GPRESULT.HTML [ENTER] über Start > Ausführen ergibt welchen Bericht?
dmetzger 10 Geschrieben 2. November 2012 Melden Geschrieben 2. November 2012 Sicherheitsgruppe im AD erstellen, Computerkonten rein. In dem GPO im Reiter Delegierung, ganz rechts unten auf Erweitert klicken. Sicherheitsgruppe hinzufügen, und Lesen auf Verweigern setzen. Achtung! Immer genau hinsehen für wen man gerade Verweigern setzt! Neustart der Clients durchführen. Am besten vorher mit einem oder zwei Clients testen. "Deny" auf ein GPO ist nicht wirklich schön. ;) Eine Verweigerungsregel auf einem GPO entfernt auch die darin enthaltenen Richtlinieneinstellungen nicht von den Zielobjekten, wenn die Einstellungen bereits angewendet wurden. ;) Man könnte natürlich ein weiteres GPO erstellen, das abweichende Proxy-Einstellungen für die Clients durchsetzt, die nicht ins Internet sollen. Da es sich bei den Proxy-Einstellungen unter "Internet Explorer-Wartung" um Benutzereinstellungen handelt, ist für die OU mit den betroffenen Computern der Loopback-Verarbeitungsmodus "Zusammenführen" zu betrachten. Die Aufhebung der Erzwingung des auf Domänenebene verknüpften Proxy-GPO ist in diesem Fall ebenfalls zu betrachten. Sonst scheint mir, dass die/der TO ziemlich grundsätzliche Fragen zur Erstellung und Anwendung von GPO stellt. Diese lassen sich durch die Aneignung von Grundlagenwissen bestimmt beantworten.
Sunny61 833 Geschrieben 2. November 2012 Melden Geschrieben 2. November 2012 "Deny" auf ein GPO ist nicht wirklich schön. ;) Ich weiß. ;) Eine Verweigerungsregel auf einem GPO entfernt auch die darin enthaltenen Richtlinieneinstellungen nicht von den Zielobjekten, wenn die Einstellungen bereits angewendet wurden. ;) OK, das wußte ich nicht, Danke für den Hinweis. Hast Du dafür eine URL parat, wo man das nachlesen kann? Um die alten Einstellungen zu entfernen, müsste man den Client verschieben, und zwar dorthin wo er nicht mehr im Verwaltungsbereich des GPO liegt, gpupdate und zweimal neu starten, jetzt wieder an den ursprünglichen Standort zurück. Gpupdate und zweimal neu starten. Man könnte natürlich ein weiteres GPO erstellen, das abweichende Proxy-Einstellungen für die Clients durchsetzt, die nicht ins Internet sollen. Da es sich bei den Proxy-Einstellungen unter "Internet Explorer-Wartung" um Benutzereinstellungen handelt, ist für die OU mit den betroffenen Computern der Loopback-Verarbeitungsmodus "Zusammenführen" zu betrachten. OK.
dmetzger 10 Geschrieben 2. November 2012 Melden Geschrieben 2. November 2012 Hast Du dafür eine URL parat, wo man das nachlesen kann? Nicht wirklich. Aber da wir bei der Anwendung von Richtlinieneinstellungen in die Registrierung schreiben und ein Verweigerungseintrag auf einem bereits angewendeten GPO kein Registry Cleaner ist... ;) Die Einstellungen des Knotens "Internet Explorer-Wartung" werden im Gruppenrichtlinienobjekt (GPO) unter dem Ordner "User" in einer Textdatei gespeichert. (Der vollständige Pfad lautet "C:\Windows\Sysvol\Sysvol\Domain\Policies\ {GUID des GPO}\User\Microsoft\IEAK".) Diese Datei heisst "install.ins" und kann mit einem Texteditor betrachtet werden. Bei der Benutzeranmeldung am Clientcomputer wird die Datei "install.ins" aus der "Sysvol"-Freigabe in die lokale Kopie des Benutzerprofils kopiert. Im ersten Schritt wird ein temporärer Ordner "Custom Settings.tmp" im Pfad "C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer" erstellt. Im Ordner "Custom Settings.tmp" wird die Kopie der Datei "install.ins" (sowie weitere Konfigurationsdateien für den Internet Explorer) im Unterordner "Custom0" abgelegt. Zum Abschluss des Kopiervorgangs, der über das Netzwerk erfolgt, wird der Ordner "Custom Settings.tmp" in "Custom Settings" umbenannt. Der vollständige Pfad zur Datei "install.ins" lautet somit: "C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer\Custom Settings\Custom0\install.ins" Und diese Datei wird durch einen Verweigerungseintrag auf dem GPO nicht gelöscht, wenn sie bereits auf dem Client existiert.
Sunny61 833 Geschrieben 2. November 2012 Melden Geschrieben 2. November 2012 Nicht wirklich. Aber da wir bei der Anwendung von Richtlinieneinstellungen in die Registrierung schreiben und ein Verweigerungseintrag auf einem bereits angewendeten GPO kein Registry Cleaner ist... ;) Danke für die Aufklärung. Ich werde das in den nächsten Tagen auf einem Testsystem nachstellen. ;)
dmetzger 10 Geschrieben 2. November 2012 Melden Geschrieben 2. November 2012 Ich werde das in den nächsten Tagen auf einem Testsystem nachstellen. ;) Bitte halte mich auf dem Laufenden. ;) Hatte mich bei einem Kunden mehrere Tage lang nur mit diesem Punkt beschäftigt und den Vorhang mit ProcMon dokumentiert. Das mit der Registrierung müsste soweit einleuchten. Ist ja eine ähnliche Geschichte wie wenn man eine Richtlinieneinstellung aktiviert und später auf "Nicht konfiguriert" setzt.
silke441 10 Geschrieben 2. November 2012 Autor Melden Geschrieben 2. November 2012 Hi Danke für eure Antworten. Mit dem Loobpack hat es funktioniert. :) Liebe Grüße Silke
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden