Gruppenrichtinie verhindert das Öffnen von Bilddateien

[Tick Raw 10]

• 
• 
• 

Hallo Leute,

 

scheinbar habe ich beim setzen irgendeiner Gruppenrichtlinien-Einstellung was falsches angeklickt.

 

Die Menschen in meinem Netzwerk können Bilddateien wie .jpg o.Ä. nicht mit einem Doppeklick öffnen.

Auch wenn ich zunächst den Microsoft Photo Editor oder den Viewer öffne und dann die Datei öffnen möchte, kommt die gleiche Fehlermeldung.

"Dateityp ist nicht registriert." Oder sowas.

In den Einstellungen Ordneroptionen-->Dateitypen ist aber das .jpg Format durchaus dem Photoeditor zugewiesen, mit dem Befehl "open".

Ich kann das Bild auch problemlos mit dem IE öffnen.

Das ist bei allen Benutzern so. Melde ich mich als Domänen-admin an, funzt es.

Ich benutze keine server-gespeicherten Profile.

Server ist W2K-Server, Clients ebnso W2K.

Hat jemand ne Idee?

 

Gruß, Tick

[Tick Raw 10]

Öhömm.

Bin ich doch im Waschmaschinen-Forum gelandet?

^_^

Weiss denn hier keiner Abhlfe?

[gr@mlin 10]

hi,

 

*kannagrnichtverstehndassichnachsoeinemkommentarüberhauptnochwasschreib*

 

was steht denn bei dir unter registrierte dateitypen bei jpg?

 

so sollte es aussehen:

 

Vorgang: Open

Anwendung: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\PhotoEd\PHOTOED.EXE" "%1"

Vorgang: Print

Anwendung: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\PhotoEd\PHOTOED.EXE" /p "%1"

Vorgang: printto

Anwendung: C:\PROGRA~1\GEMEIN~1\MICROS~1\PhotoEd\PHOTOED.EXE /pt "%1" "%2" "%3" "%4"

 

ansonsten musst du erst den bild-härtegrad im photo editor einstellen und den buntbildmodus aktivieren, sonst funktioniert es nicht!

 

gruss, gr@mlin

[Tick Raw 10]

Dank Dir.

Ich überprüf das morgen noch mal genau und sag mal Bescheid.

Im Zweifelsfall muss ich den Auquastop mal auswechseln.

Oder die ECO-Taste auschalten.

Oder Perwoll verwenden...

 

Tick ^_^

[günterf 42]

Hi!

 

@Tick Raw

 

*kannagrnichtverstehndassichnachsoeinemkommentarüberhauptnochwasschreib*

 

Dem habe ich nicht viel hinzu zu fügen, außer:

 

http://www.mcseboard.de/rules.php?s=#nr3

 

Solche Kommentare helfen Dir mit Sicherheit nicht eine Lösung für Dein Problem zu bekommen!

 

Also, halte Dich an die Regeln!

[Tick Raw 10]

Lieber Moderator, liebe User,

selbstverfreilich war mein Kommentar weder beleidigend, vulgär, obszön noch bedrohlich.

Einzig mangelnde Geduld lasse ich mir vorwerfen.

Ein ^_^ ist für mich ein lächelndedes Gesicht, mit dem ich den Kommentar nicht umsonst versah. Falls dieser - von mir gemeinte, so sei versichert - Scherz auf empfindliche Ohren, pardon, Augen stieß, bitte ich um Verzeihung.

Die nächste Runde geht dann wohl auf mich.

 

Reumütig, Tick

[Tick Raw 10]

Hmm, ich habe scheinbar in der Gruppenrichtlinie irgendetwas deaktiert, was den Benutzer ermächtigt im Windows-Explorer unter Extras->Ordneroptionen->Dateitypen die Zuordnungen anzeigen oder verändern zu lassen. Demzufolge kann ich unter dem Benutzerprofil nicht sehen, ob das was Du beschrieben hast wirklich da steht.

Ich habe die ganze Gruppenrichtlinie durchsucht, aber nichts gefunden, was dem User diese Änderungen verbieten würde...

 

Unter meinem Admin Profil ist alles in bester Ordnung, da läuft es ja auch...

 

Kann ich die Einstellungen auch irgendwo als Reg-Schlüssel einsehen? Regedit ausführen darf er nämlich.

 

Tick

[gr@mlin 10]

Hmm, ich habe scheinbar in der Gruppenrichtlinie irgendetwas deaktiert, was den Benutzer ermächtigt im Windows-Explorer unter Extras->Ordneroptionen->Dateitypen die Zuordnungen anzeigen oder verändern zu lassen. Demzufolge kann ich unter dem Benutzerprofil nicht sehen, ob das was Du beschrieben hast wirklich da steht.

Ich habe die ganze Gruppenrichtlinie durchsucht, aber nichts gefunden, was dem User diese Änderungen verbieten würde...

dazu brauch ich doch wirklich nicht mehr viel sagen, oder?

a) stichwort dokumentation

b) die explorer-einstellungen in der gpo sind nicht schwer zu finden

 

Kann ich die Einstellungen auch irgendwo als Reg-Schlüssel einsehen? Regedit ausführen darf er nämlich.

... keine ordneroptionen aber registry-rechte? da stimmt doch was nicht.

 

gruss, gr@mlin

[Tick Raw 10]

a) und b) alle windows explorer funktionen sind in der gpo "nicht konfiguriert" und für die Dateitypen finde ich gar keine Einstellungsmöglichkeiten.

 

Da wir eine Schule sind, die auf CAD Software von Autodesk schult und diese Software Benutzer-Zugriff auf die Registrierung verlangt, sind die User als Hauptbenutzer angemeldet. Das ist ärgerlich, aber läßt sich nicht ändern. Unter Umständen sind auf den Rechnern bis zu 20 verschiedene Autodesk-Produkte installiert. Um dediziert Reg-Einträge für die Benutzer freizugeben, müsste ich ca. 350 registry-schlüssel manuell freigeben. Und das ist nur der Wert bei dem ich aufgehört habe zu zählen.

Da sich zusätzlich verschiedene Versionen der ACAD-Software untereinander behaken, muss ich manchmal Schlüssel neu setzen oder ganz löschen, um ein Weiterarbeiten zu ermöglichen. Da solche Schlüssel größtenteils in der HKEY_CURRENT_USER liegen, bleibt mir meines Wissens keine Wahl, als regedit unter angemeldetem Benutzernamen auszuführen.

Wenn Du da Abhilfe weisst, höre ich gerne zu.

Zudem habe ich mein ganzes Wissen aus Büchern. Ich bin eigentlich Dozent. Das Einstellen einer IT-Fachkraft in diesem Bereich sprengt einfach die Mittel, die im Moment zu Verfügung stehen. Wenn ich das alles besser wüsste, würde ich hier keine Fragen stellen, sondern versuchen anderen Leuten auf Ihre Fragen Antworten zu geben, was ich in den einschlägigen CAD-Foren auch tue.

Davon abgesehen, habe ich das mit den Ordneroptionen ja auch nicht absichtlich gemacht. Ich habe schlicht und ergreifend versucht, die Hauptbenutzer ein wenig in Ihren Rechten einzuschränken, um den Schulungsablauf nicht zu stören. Dummerweise ist aber in manchen Momenten, wie diesem hier, das genaue Gegenteil der Fall.

Wenn ich den Fehler (den ja ganz offensichtlich ICH verursacht habe) nicht finde, muss ich die ganze Richtlinie halt löschen, und von vorne anfangen.

Aller Anfang ist halt schwer.

 

Gruß, Tick

 

Edit: Um noch etwas zu Deiner Signatur zu sagen: Quod erat demonstrandum! :)

[gr@mlin 10]

hi,

 

also das wirft doch mal ein bisschen licht ins dunkel.

 

wir setzen selbst cad-software ein, daher kann ich deine user-politik verstehen.

 

nun zurück zum prob:

betrifft es aller user/power user, ausser den admin?

steht die funktion "ordneroptionen" gar nicht zur verfügung? oder bis wohin kann er noch auswählen?

sicher, dass dieser schalter in der gpo nicht gesetzt ist?

benutzereinst. -> adm.vorlagen -> win.komponenten -> windows explorer -> entfernt das menü "ordneroptionen" aus dem menü "extras"

 

du könntest auch mal die gpo für den user filtern.

(eigenschaften -> sicherheit -> gpo übernehmen verweigern, dann den user neu anmelden, nochmal nachschauen, [wenn mehrere dc's vorhanden sind, vorher erst replizieren])

hat sich nichts geändert, lag es nicht an der gpo.

gibt es noch andere gpos, die konfiguriert sind?

 

ansonsten standardfrage: sind alle sp und patche installiert?

 

vielleicht ist die einstellung auch in der registry gesetzt... dazu muss ich aber erst wissen, was genau der user nicht machen kann bzw. bis wohin er kommt (extras -> ordneroptionen -> dateitypen etc.)

 

dieser eintrag (unter angemeldetem user schauen!):

hkcu\software\microsoft\windows\currentversion\policies\explorer -> dword NoFolderOptions = 1

blendet die ordneroptionen aus. existiert er, setzt den wert mal auf 0. existiert er nicht, erzeuge ihn mal mit wert 0.

 

zu deinem edit:

bist wohl ein mathefuchs? na ja, den beweis kann ich leider nicht bringen. deshalb ist die sinnfrage immer aktuell...

 

gruss, gr@mlin

[Tick Raw 10]

Vielen Dank,

 

zunächst einmal die Sachen, die ich Dir sofort beantworten kann:

 

Die User haben Ihre Ordneroptionen. Die GPO, die Du da genannt hast ist mit Absicht auf "nicht konfiguriert" gelassen.

Die User können sich "Dateitypen" auch anzeigen lassen, aber die Felder "Neu, Löschen, Ändern und Erweitert" sind grau unterlegt.

 

W2K ist nur bis SP3 gepatcht, weil es im SP4 einen Patch gab, der die Dateiendungen .max und .drf dem Windows-Installer zugeordnet hat. Das führte zum Absturz, wenn man versuchte, diese Dateien mit 3D Studio MAX oder dem VIZ Render zu öfnnen zu denen diese Dateitypen eigentlich gehören.

Die Server sind auf aktuellem Stand, beide W2K Server. Ich habe deren zwei: Ein primary DC, ziemlich alte Kiste, mit ActiveDir, DNS, und dem Lizenz-Management (FLEXlm) für die CAD-Software. Meinen secondary DC habe ich nur aufgesetzt, weil ich Angst hatte das mir die alte Kiste irgendwann abraucht. Der ist zusätzlich noch File Server und INet Proxy mit nem JanaServer. Ausserdem ist ActiveDir auch implementiert, damit ich meine User noch habe, wenn Server A das Zeitliche segnet.

 

Das große Problem bei Server A ist, das ich ihn völlig verwahrlost als NT-Server bekommen habe und peu a peu versuche da ein wenig Ordnung rein zu bringen. Ein Server sauber neu aufzusetzten ist sicherlich einfacher.

 

Ein MatheAs bin ich übrigens nicht, nur alter Lateiner.

 

Noch eine Zwischenfrage. Wie filtere ich die GPO für den User genau. Unter seinen Eigenschaften im ActiveDir?

Wie repliziere ich die GPO manuell? Die wird doch in gewissen Zeitabständen (5-10min) von selbst repliziert, oder?

 

Zunächst also nochmal vielen Dank, nach dem schlechten Start.

Das ich wegen solchen Sachen wie meiner User Politik mitleidig belächelt werde, passiert mir ständig, aber Du bist der erste, der beim Stichwort "CAD" sofort gesagt hat: Achso, ne dann verstehe ich das. Wenn doch nur alle Menschen auf diesem Planeten wüssten, was Autodesk ahnungslosen HobbyAdministratoren da antut... ^_^

 

Gruß, Tick

[gr@mlin 10]

hi,

Wie filtere ich die GPO für den User genau

im ad - gpo markieren - rechtsklick - eigenschaften - sicherheitseinstellungen - entspr. user hinzufügen - rechte: gruppenrichtlinie lesen + übernehmen = verweigern

Wie repliziere ich die GPO manuell? Die wird doch in gewissen Zeitabständen (5-10min) von selbst repliziert, oder?

unter ad-standorte u. -dienste - servers - server1 - ntds settings - name auswählen - rechtsklick - jetzt replizieren (das ganze für server2 auch machen).

die dcs replizieren sich standardmässig alle 5 minuten (mit versatz). aber wenn du z.b. eine änderung an einem dc in der gpo vorgenommen hast, dich danach neu angemeldest hast, ist die chance 50:50, dass du dich gerade an diesem dc authentifiziert hast (bei 2dc's - wenn nicht anders konfiguriert). erwischt du den anderen, sind die änderungen in der gpo noch nicht drin.

 

aber - viel wichtiger - ich glaub, ich hab ne lösung für dein prob gefunden.

 

probier mal folgendes:

 

eine jpg-datei im explorer markieren -> shift + rechtsklick -> öffnen mit -> microsoft photo editor auswählen -> "damit immer öffnen" markieren

 

dann explorer schliessen, neu öffnen, und versuchen, die datei zu öffnen.

 

falls es jetzt klappt: okay! falls eine fehlermeldung erscheint: "unknown file format", gehts ab in die registry.

 

1. als angemeldeter user folgende einstellungen prüfen (ggf. erstellen):

 

a hkcu\software\microsoft\windows\currentversion\explorer\fileexts\.jpg

---> Name: (Standard), REG_SZ, Wert: (Wert nicht gesetzt)

 

b) unterschlüssel: OpenWithList

---> Name: (Standard), REG_SZ, Wert: (Wert nicht gesetzt)

---> Name: a, REG_SZ, Wert: PHOTOED.EXE

---> Name: MRUList, REG_SZ, Wert: a

 

c) HK_USERS\{siddesusers}\software\microsoft\windows\currentversion\explorer\fileexts\.jpg

---> Name: (Standard), REG_SZ, Wert: (Wert nicht gesetzt)

 

d) unterschlüssel: OpenWithList

---> Name: (Standard), REG_SZ, Wert: (Wert nicht gesetzt)

---> Name: a, REG_SZ, Wert: PHOTOED.EXE

---> Name: MRUList, REG_SZ, Wert: a

 

2. als admin anmelden, regedt32 aufrufen, und folgende berechtigungen setzen:

 

a) hklm\software\microsoft\shared tools\graphics filters\export\jpeg

---> benutzer/hauptbenutzer = vollzugriff

 

b) hklm\software\microsoft\shared tools\graphics filters\import\jpeg

---> benutzer/hauptbenutzer = vollzugriff

 

damit sollte es eigentlich für den user/power user funktionieren, die jpg-datei wieder mit dem photo editor zu öffnen.

 

falls nicht, oder weitere felhermeldungen auftauchen, meld dich halt noch mal. dann schau'n wer mal.

 

gruss, gr@mlin

[Tick Raw 10]

Na supi.

Ich bin begeistert.

Punkt 1) war so wie Du es beschrieben hast.

Punkt 2) habe ich geändert.

Nachdem ich den Zugriff mit regedit32 auf Vollzugriff gestellt habe, funzt es einwandfrei.

 

Die logische Konsequenz aus Deinen profunden Kenntnissen sind nun leider weitere Fragen:

a) Wie ist das passiert?

b) Wie mache ich es für alle 80 Rechner rückgängig, ohne mich jedesmal als admin da anzumelden? Kann ich für regedit32 ein .reg Datei erstellen, die per Anmeldescript ausgeführt wird?

c) Wie wahrscheinlich ist es, dass nicht nur der jpeg Schlüssel betroffen ist?

d) Hatte das nun irgendwas mit der GPO zu tun, oder nicht?

e) Wieviel wusstest Du schon, als Du noch ein Mogwai warst?

 

Dankbar, Tick

[gr@mlin 10]

hi,

 

schön, dass es funktioniert hat. :D

 

zu deinen weiteren fragen:

 

Wie ist das passiert?

das weiss ich auch nicht so genau. nur wenn die dateizuordnung von jpg mal geändert wurde (von einem prog, o.ä.) und ein zurücksetzen nicht funktioniert, und die anwendung über ändern neu zugewiesen wird, gibt es manchmal probleme. wie bei dir jetzt. warum bei dir die auswahlbuttons ausgegraut sind, kann ich dir jetzt auch nicht sagen (wird wohl auch in der reg zu finden sein).

 

Wie mache ich es für alle 80 Rechner rückgängig, ohne mich jedesmal als admin da anzumelden? Kann ich für regedit32 ein .reg Datei erstellen, die per Anmeldescript ausgeführt wird?

ich würde das per reg-datei im anmeldescript machen (entsprechende schlüssel vom funktionierenden rechner exportieren, mit regedit /s einfügen). die berechtigung auf die hklm-schlüssel kannst du in einer gpo setzen (unter computerkonfig -> win-einstlg. -> sicherheitseinstlg. -> registrierung)

 

Wie wahrscheinlich ist es, dass nicht nur der jpeg Schlüssel betroffen ist?

keine ahnung, immer positiv denken.

 

Hatte das nun irgendwas mit der GPO zu tun, oder nicht?

die frage kannst du dir selbst beantworten, indem du

du könntest auch mal die gpo für den user filtern.

(eigenschaften -> sicherheit -> gpo übernehmen verweigern, dann den user neu anmelden, nochmal nachschauen, [wenn mehrere dc's vorhanden sind, vorher erst replizieren])

hat sich nichts geändert, lag es nicht an der gpo.

gibt es noch andere gpos, die konfiguriert sind?

dies durchführst.

 

Wieviel wusstest Du schon, als Du noch ein Mogwai warst?

ich wurde von anfang an nach mitternacht gefüttert ... ;)

 

gruss, gr@mlin

[Tick Raw 10]

Ausgezeichnet.

 

Besten Dank und frohes Pfingstfest.

 

Tick

 

 

Edit: Spring doch mal ins Wasser. Dann gibt es ganz viele von Dir...