silke441 10 Posted October 31, 2012 Report Share Posted October 31, 2012 Hallo, ich habe eine Proxy GPO in der "root-Ebene" eingefügt.(mit Erzwungen) Wie kann ich diese in einem weit darunter befindlichen Ordner "deaktivieren"? Denn diese Rechner dürfen nicht surfen. Liebe Grüsse Silke Quote Link to comment
Dukel 449 Posted October 31, 2012 Report Share Posted October 31, 2012 Wenn Rechner nicht ins Internet dürfen dann nutze einen Transparenten oder Zwangs Proxy und schließe dort die Rechner aus. Einen Proxy manuell eintragen kann du sonst nicht verhindern. Außerdem wieso mit Erzwungen? Quote Link to comment
silke441 10 Posted October 31, 2012 Author Report Share Posted October 31, 2012 Hi, wurde so von extern eingerichtet. Nun möchte ich aber ein paar ausnahmen schaffen. Kann auch an den Proxys nicht "rütteln". mir reicht es wenn der proxy eintrag einfach raus geht per GPO. Nur keine Ahnung wie. Denke die erste GPO ist die Dominante. Oder?? kann man eine Ausnahme definieren? Gruß Silke Quote Link to comment
Sunny61 804 Posted October 31, 2012 Report Share Posted October 31, 2012 Ist der Proxy in der Default Domain Policy eingetragen? Wenn ja, dann nimm ihn dort raus und erstelle ein eigenes GPO. Das kannst Du dann auf verschiedene OUs verlinken. Sollen ein paar Clients den Proxy nicht bekommen, kannst Du sie über die Mitgliedschaft in einer Sicherheitsgruppe, am lesen und übernehmen des GPO hindern. Quote Link to comment
silke441 10 Posted October 31, 2012 Author Report Share Posted October 31, 2012 Hi, danke für die Antwort. Wie müsste ich das mit der Sicherheitsgruppe machen? Liebe Grüsse Silke Quote Link to comment
Sunny61 804 Posted October 31, 2012 Report Share Posted October 31, 2012 Sicherheitsgruppe im AD erstellen, Computerkonten rein. In dem GPO im Reiter Delegierung, ganz rechts unten auf Erweitert klicken. Sicherheitsgruppe hinzufügen, und Lesen auf Verweigern setzen. Achtung! Immer genau hinsehen für wen man gerade Verweigern setzt! Neustart der Clients durchführen. Am besten vorher mit einem oder zwei Clients testen. Quote Link to comment
silke441 10 Posted October 31, 2012 Author Report Share Posted October 31, 2012 hi, irgendwie zieht er sich die GPO trotzdem :confused: Gruß Silke Quote Link to comment
Sunny61 804 Posted November 2, 2012 Report Share Posted November 2, 2012 irgendwie zieht er sich die GPO trotzdem :confused: Was soll man darauf antworten? Irgendwie ist heute alles komisch. :) Wer ist er? Was genau hast Du gemacht? Welche GPOs kommen auf dem 'er' an? GPRESULT /H GPRESULT.HTML [ENTER] über Start > Ausführen ergibt welchen Bericht? Quote Link to comment
dmetzger 10 Posted November 2, 2012 Report Share Posted November 2, 2012 Sicherheitsgruppe im AD erstellen, Computerkonten rein. In dem GPO im Reiter Delegierung, ganz rechts unten auf Erweitert klicken. Sicherheitsgruppe hinzufügen, und Lesen auf Verweigern setzen. Achtung! Immer genau hinsehen für wen man gerade Verweigern setzt! Neustart der Clients durchführen. Am besten vorher mit einem oder zwei Clients testen. "Deny" auf ein GPO ist nicht wirklich schön. ;) Eine Verweigerungsregel auf einem GPO entfernt auch die darin enthaltenen Richtlinieneinstellungen nicht von den Zielobjekten, wenn die Einstellungen bereits angewendet wurden. ;) Man könnte natürlich ein weiteres GPO erstellen, das abweichende Proxy-Einstellungen für die Clients durchsetzt, die nicht ins Internet sollen. Da es sich bei den Proxy-Einstellungen unter "Internet Explorer-Wartung" um Benutzereinstellungen handelt, ist für die OU mit den betroffenen Computern der Loopback-Verarbeitungsmodus "Zusammenführen" zu betrachten. Die Aufhebung der Erzwingung des auf Domänenebene verknüpften Proxy-GPO ist in diesem Fall ebenfalls zu betrachten. Sonst scheint mir, dass die/der TO ziemlich grundsätzliche Fragen zur Erstellung und Anwendung von GPO stellt. Diese lassen sich durch die Aneignung von Grundlagenwissen bestimmt beantworten. Quote Link to comment
Sunny61 804 Posted November 2, 2012 Report Share Posted November 2, 2012 "Deny" auf ein GPO ist nicht wirklich schön. ;) Ich weiß. ;) Eine Verweigerungsregel auf einem GPO entfernt auch die darin enthaltenen Richtlinieneinstellungen nicht von den Zielobjekten, wenn die Einstellungen bereits angewendet wurden. ;) OK, das wußte ich nicht, Danke für den Hinweis. Hast Du dafür eine URL parat, wo man das nachlesen kann? Um die alten Einstellungen zu entfernen, müsste man den Client verschieben, und zwar dorthin wo er nicht mehr im Verwaltungsbereich des GPO liegt, gpupdate und zweimal neu starten, jetzt wieder an den ursprünglichen Standort zurück. Gpupdate und zweimal neu starten. Man könnte natürlich ein weiteres GPO erstellen, das abweichende Proxy-Einstellungen für die Clients durchsetzt, die nicht ins Internet sollen. Da es sich bei den Proxy-Einstellungen unter "Internet Explorer-Wartung" um Benutzereinstellungen handelt, ist für die OU mit den betroffenen Computern der Loopback-Verarbeitungsmodus "Zusammenführen" zu betrachten. OK. Quote Link to comment
dmetzger 10 Posted November 2, 2012 Report Share Posted November 2, 2012 Hast Du dafür eine URL parat, wo man das nachlesen kann? Nicht wirklich. Aber da wir bei der Anwendung von Richtlinieneinstellungen in die Registrierung schreiben und ein Verweigerungseintrag auf einem bereits angewendeten GPO kein Registry Cleaner ist... ;) Die Einstellungen des Knotens "Internet Explorer-Wartung" werden im Gruppenrichtlinienobjekt (GPO) unter dem Ordner "User" in einer Textdatei gespeichert. (Der vollständige Pfad lautet "C:\Windows\Sysvol\Sysvol\Domain\Policies\ {GUID des GPO}\User\Microsoft\IEAK".) Diese Datei heisst "install.ins" und kann mit einem Texteditor betrachtet werden. Bei der Benutzeranmeldung am Clientcomputer wird die Datei "install.ins" aus der "Sysvol"-Freigabe in die lokale Kopie des Benutzerprofils kopiert. Im ersten Schritt wird ein temporärer Ordner "Custom Settings.tmp" im Pfad "C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer" erstellt. Im Ordner "Custom Settings.tmp" wird die Kopie der Datei "install.ins" (sowie weitere Konfigurationsdateien für den Internet Explorer) im Unterordner "Custom0" abgelegt. Zum Abschluss des Kopiervorgangs, der über das Netzwerk erfolgt, wird der Ordner "Custom Settings.tmp" in "Custom Settings" umbenannt. Der vollständige Pfad zur Datei "install.ins" lautet somit: "C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer\Custom Settings\Custom0\install.ins" Und diese Datei wird durch einen Verweigerungseintrag auf dem GPO nicht gelöscht, wenn sie bereits auf dem Client existiert. Quote Link to comment
Sunny61 804 Posted November 2, 2012 Report Share Posted November 2, 2012 Nicht wirklich. Aber da wir bei der Anwendung von Richtlinieneinstellungen in die Registrierung schreiben und ein Verweigerungseintrag auf einem bereits angewendeten GPO kein Registry Cleaner ist... ;) Danke für die Aufklärung. Ich werde das in den nächsten Tagen auf einem Testsystem nachstellen. ;) Quote Link to comment
dmetzger 10 Posted November 2, 2012 Report Share Posted November 2, 2012 Ich werde das in den nächsten Tagen auf einem Testsystem nachstellen. ;) Bitte halte mich auf dem Laufenden. ;) Hatte mich bei einem Kunden mehrere Tage lang nur mit diesem Punkt beschäftigt und den Vorhang mit ProcMon dokumentiert. Das mit der Registrierung müsste soweit einleuchten. Ist ja eine ähnliche Geschichte wie wenn man eine Richtlinieneinstellung aktiviert und später auf "Nicht konfiguriert" setzt. Quote Link to comment
silke441 10 Posted November 2, 2012 Author Report Share Posted November 2, 2012 Hi Danke für eure Antworten. Mit dem Loobpack hat es funktioniert. :) Liebe Grüße Silke Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.