Jump to content

Proxy GPO

silke441

Von silke441
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

Sicherheitsgruppe im AD erstellen, Computerkonten rein. In dem GPO im Reiter Delegierung, ganz rechts unten auf Erweitert klicken. Sicherheitsgruppe hinzufügen, und Lesen auf Verweigern setzen. Achtung! Immer genau hinsehen für wen man gerade Verweigern setzt! Neustart der Clients durchführen. Am besten vorher mit einem oder zwei Clients testen.

Link zu diesem Kommentar
dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben
Sicherheitsgruppe im AD erstellen, Computerkonten rein. In dem GPO im Reiter Delegierung, ganz rechts unten auf Erweitert klicken. Sicherheitsgruppe hinzufügen, und Lesen auf Verweigern setzen. Achtung! Immer genau hinsehen für wen man gerade Verweigern setzt! Neustart der Clients durchführen. Am besten vorher mit einem oder zwei Clients testen.

 

"Deny" auf ein GPO ist nicht wirklich schön. ;)

 

Eine Verweigerungsregel auf einem GPO entfernt auch die darin enthaltenen Richtlinieneinstellungen nicht von den Zielobjekten, wenn die Einstellungen bereits angewendet wurden. ;)

 

Man könnte natürlich ein weiteres GPO erstellen, das abweichende Proxy-Einstellungen für die Clients durchsetzt, die nicht ins Internet sollen. Da es sich bei den Proxy-Einstellungen unter "Internet Explorer-Wartung" um Benutzereinstellungen handelt, ist für die OU mit den betroffenen Computern der Loopback-Verarbeitungsmodus "Zusammenführen" zu betrachten.

 

Die Aufhebung der Erzwingung des auf Domänenebene verknüpften Proxy-GPO ist in diesem Fall ebenfalls zu betrachten.

 

Sonst scheint mir, dass die/der TO ziemlich grundsätzliche Fragen zur Erstellung und Anwendung von GPO stellt. Diese lassen sich durch die Aneignung von Grundlagenwissen bestimmt beantworten.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben
"Deny" auf ein GPO ist nicht wirklich schön. ;)

 

Ich weiß. ;)

 

Eine Verweigerungsregel auf einem GPO entfernt auch die darin enthaltenen Richtlinieneinstellungen nicht von den Zielobjekten, wenn die Einstellungen bereits angewendet wurden. ;)

 

OK, das wußte ich nicht, Danke für den Hinweis. Hast Du dafür eine URL parat, wo man das nachlesen kann?

 

Um die alten Einstellungen zu entfernen, müsste man den Client verschieben, und zwar dorthin wo er nicht mehr im Verwaltungsbereich des GPO liegt, gpupdate und zweimal neu starten, jetzt wieder an den ursprünglichen Standort zurück. Gpupdate und zweimal neu starten.

 

Man könnte natürlich ein weiteres GPO erstellen, das abweichende Proxy-Einstellungen für die Clients durchsetzt, die nicht ins Internet sollen. Da es sich bei den Proxy-Einstellungen unter "Internet Explorer-Wartung" um Benutzereinstellungen handelt, ist für die OU mit den betroffenen Computern der Loopback-Verarbeitungsmodus "Zusammenführen" zu betrachten.

 

OK.

Link zu diesem Kommentar
dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben
Hast Du dafür eine URL parat, wo man das nachlesen kann?

 

Nicht wirklich. Aber da wir bei der Anwendung von Richtlinieneinstellungen in die Registrierung schreiben und ein Verweigerungseintrag auf einem bereits angewendeten GPO kein Registry Cleaner ist... ;)

 

Die Einstellungen des Knotens "Internet Explorer-Wartung" werden im Gruppenrichtlinienobjekt (GPO) unter dem Ordner "User" in einer Textdatei gespeichert. (Der vollständige Pfad lautet "C:\Windows\Sysvol\Sysvol\Domain\Policies\

{GUID des GPO}\User\Microsoft\IEAK".) Diese Datei heisst "install.ins" und kann mit einem Texteditor betrachtet werden.

 

Bei der Benutzeranmeldung am Clientcomputer wird die Datei "install.ins" aus der "Sysvol"-Freigabe in die lokale Kopie des Benutzerprofils kopiert. Im ersten Schritt wird ein temporärer Ordner "Custom Settings.tmp" im Pfad "C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer" erstellt. Im Ordner "Custom Settings.tmp" wird die Kopie der Datei "install.ins" (sowie weitere Konfigurationsdateien für den Internet Explorer) im Unterordner "Custom0" abgelegt.

 

Zum Abschluss des Kopiervorgangs, der über das Netzwerk erfolgt, wird der Ordner "Custom Settings.tmp" in "Custom Settings" umbenannt. Der vollständige Pfad zur Datei "install.ins" lautet somit:

"C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer\Custom Settings\Custom0\install.ins"

 

Und diese Datei wird durch einen Verweigerungseintrag auf dem GPO nicht gelöscht, wenn sie bereits auf dem Client existiert.

Link zu diesem Kommentar
dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben
Ich werde das in den nächsten Tagen auf einem Testsystem nachstellen. ;)

 

Bitte halte mich auf dem Laufenden. ;)

 

Hatte mich bei einem Kunden mehrere Tage lang nur mit diesem Punkt beschäftigt und den Vorhang mit ProcMon dokumentiert.

 

Das mit der Registrierung müsste soweit einleuchten. Ist ja eine ähnliche Geschichte wie wenn man eine Richtlinieneinstellung aktiviert und später auf "Nicht konfiguriert" setzt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...