Jump to content

Proxy GPO


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Sicherheitsgruppe im AD erstellen, Computerkonten rein. In dem GPO im Reiter Delegierung, ganz rechts unten auf Erweitert klicken. Sicherheitsgruppe hinzufügen, und Lesen auf Verweigern setzen. Achtung! Immer genau hinsehen für wen man gerade Verweigern setzt! Neustart der Clients durchführen. Am besten vorher mit einem oder zwei Clients testen.

Link to comment
Sicherheitsgruppe im AD erstellen, Computerkonten rein. In dem GPO im Reiter Delegierung, ganz rechts unten auf Erweitert klicken. Sicherheitsgruppe hinzufügen, und Lesen auf Verweigern setzen. Achtung! Immer genau hinsehen für wen man gerade Verweigern setzt! Neustart der Clients durchführen. Am besten vorher mit einem oder zwei Clients testen.

 

"Deny" auf ein GPO ist nicht wirklich schön. ;)

 

Eine Verweigerungsregel auf einem GPO entfernt auch die darin enthaltenen Richtlinieneinstellungen nicht von den Zielobjekten, wenn die Einstellungen bereits angewendet wurden. ;)

 

Man könnte natürlich ein weiteres GPO erstellen, das abweichende Proxy-Einstellungen für die Clients durchsetzt, die nicht ins Internet sollen. Da es sich bei den Proxy-Einstellungen unter "Internet Explorer-Wartung" um Benutzereinstellungen handelt, ist für die OU mit den betroffenen Computern der Loopback-Verarbeitungsmodus "Zusammenführen" zu betrachten.

 

Die Aufhebung der Erzwingung des auf Domänenebene verknüpften Proxy-GPO ist in diesem Fall ebenfalls zu betrachten.

 

Sonst scheint mir, dass die/der TO ziemlich grundsätzliche Fragen zur Erstellung und Anwendung von GPO stellt. Diese lassen sich durch die Aneignung von Grundlagenwissen bestimmt beantworten.

Link to comment
"Deny" auf ein GPO ist nicht wirklich schön. ;)

 

Ich weiß. ;)

 

Eine Verweigerungsregel auf einem GPO entfernt auch die darin enthaltenen Richtlinieneinstellungen nicht von den Zielobjekten, wenn die Einstellungen bereits angewendet wurden. ;)

 

OK, das wußte ich nicht, Danke für den Hinweis. Hast Du dafür eine URL parat, wo man das nachlesen kann?

 

Um die alten Einstellungen zu entfernen, müsste man den Client verschieben, und zwar dorthin wo er nicht mehr im Verwaltungsbereich des GPO liegt, gpupdate und zweimal neu starten, jetzt wieder an den ursprünglichen Standort zurück. Gpupdate und zweimal neu starten.

 

Man könnte natürlich ein weiteres GPO erstellen, das abweichende Proxy-Einstellungen für die Clients durchsetzt, die nicht ins Internet sollen. Da es sich bei den Proxy-Einstellungen unter "Internet Explorer-Wartung" um Benutzereinstellungen handelt, ist für die OU mit den betroffenen Computern der Loopback-Verarbeitungsmodus "Zusammenführen" zu betrachten.

 

OK.

Link to comment
Hast Du dafür eine URL parat, wo man das nachlesen kann?

 

Nicht wirklich. Aber da wir bei der Anwendung von Richtlinieneinstellungen in die Registrierung schreiben und ein Verweigerungseintrag auf einem bereits angewendeten GPO kein Registry Cleaner ist... ;)

 

Die Einstellungen des Knotens "Internet Explorer-Wartung" werden im Gruppenrichtlinienobjekt (GPO) unter dem Ordner "User" in einer Textdatei gespeichert. (Der vollständige Pfad lautet "C:\Windows\Sysvol\Sysvol\Domain\Policies\

{GUID des GPO}\User\Microsoft\IEAK".) Diese Datei heisst "install.ins" und kann mit einem Texteditor betrachtet werden.

 

Bei der Benutzeranmeldung am Clientcomputer wird die Datei "install.ins" aus der "Sysvol"-Freigabe in die lokale Kopie des Benutzerprofils kopiert. Im ersten Schritt wird ein temporärer Ordner "Custom Settings.tmp" im Pfad "C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer" erstellt. Im Ordner "Custom Settings.tmp" wird die Kopie der Datei "install.ins" (sowie weitere Konfigurationsdateien für den Internet Explorer) im Unterordner "Custom0" abgelegt.

 

Zum Abschluss des Kopiervorgangs, der über das Netzwerk erfolgt, wird der Ordner "Custom Settings.tmp" in "Custom Settings" umbenannt. Der vollständige Pfad zur Datei "install.ins" lautet somit:

"C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer\Custom Settings\Custom0\install.ins"

 

Und diese Datei wird durch einen Verweigerungseintrag auf dem GPO nicht gelöscht, wenn sie bereits auf dem Client existiert.

Link to comment
Ich werde das in den nächsten Tagen auf einem Testsystem nachstellen. ;)

 

Bitte halte mich auf dem Laufenden. ;)

 

Hatte mich bei einem Kunden mehrere Tage lang nur mit diesem Punkt beschäftigt und den Vorhang mit ProcMon dokumentiert.

 

Das mit der Registrierung müsste soweit einleuchten. Ist ja eine ähnliche Geschichte wie wenn man eine Richtlinieneinstellung aktiviert und später auf "Nicht konfiguriert" setzt.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...