Jump to content

Sicherheitszonen per Gruppenrichtlinie


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute!

 

Eine Frage zu Gruppenrichtlinien und Sicherheitszonen.

 

Ich habe hier Probleme mit Access-Datenbanken auf unserem Server. Bei einem Zugriff auf die Dateien, über den Windows Explorer und ein Netzlaufwerk, behauptet Access, es wolle die Datei nicht öffnen, da sie in einer unsicheren Zone liege. Eine lokale Kopie läuft, aber ist nicht gewollt. Wenn man sich über das gesamte Netzwerk auf den server durchclickt, läuft sie auch.

 

Offenbar begreift das System bei einem Zugriff über ein Netzlaufwerk nicht, daß es sich bei dem Pfad um einen UNC Pfad in der Intranetzone handelt.

 

Nun gut, das ist nichts das Problem. Immerhin kann die Intranetzone ja erweitert werden. Lokal auf dem PC ist das simpel: Systemsteuerung->Internetoptionen->Sicherheit->Lokales Intranet->Sites->Erweitert->Servername eingeben->Hinzufügen. Schon funktioniert der Zugriff auf die Datenbankdatei. Alternativ läßt sich auch die Sicherheitsstufe für die Internetzone verringern, aber das wäre natürlich schlecht.

 

Jetzt will ich das aber in der ganzen Domäne verteilen. Also erstelle ich ein GPO: Benutzerkonfiguration->Windows-Einstellungen->Internet Explorer-Wartung->Sicherheit->Sicherheitszonen und Inhaltsfilter->Sicherheitszonen und Datenschutz. Dort also die Zoneneinstellungen vom Server importiert ("Weiter" klicken dann öffnet sich ein Konfigurationsfenster, das dem aus der Systemsteuerung gleicht) und entsprechend den Wünschen angepaßt, das heißt auch hier den Servernamen eingegeben.

 

Tja, nur kommt diese Richtlinie nicht an. Wenn man sich an der Domäne anmeldet und dort auf dem lokalen Rechner die Interneteinstellungen kontrolliert, ist nichts von den Richtlinien zu sehen. Ich vermute dieses Problemhängt mit der "Verstärkten Sicherheitskonfiguration für den Internet Explorer" zusammen. Zumindest ist in der Beschreibung der betreffenden GPO erwähnt, daß diese notwendig sei. Jetzt stellen sich mir mehrere Fragen: Im Internet ist beschrieben, diese verstärkte Sicherheitskonfiguration ließe sich nachinstallieren (Systemsteuerung->Software->Windowskomponenten), jedoch finde ich unter Windows 2000 weder dort noch sonstwo eine Möglichkeit dazu. Ich habe bisher ehrlich gesagt auch noch nicht verstanden wozu das gut sein soll und wo der Zusammenhang mit den Sicherheitzonen ist. Immerhin kennt auch das normale Windows 2000 bereits Sicherheitszonen.

 

Im übrigen sind die Informationen zu dem Thema mehr als dünn gestreut. Jedenfalls komme ich nicht weiter.

 

Gibt es eine Möglichkeit Zoneneinstellungen für Windows2000 Clients per GPO zu verteilen? Oder vielleicht einen Weg die verstärkten Sicherheitskonfiguration für den Internet Explorer nachzuinstallieren? Oder eine ganz andere Lösung für das ursprüngliche Datenbankdatei-Problem?

Link zu diesem Kommentar
  • 2 Monate später...

Hallo,

 

bei mir gibt's die gleichen Probleme. Ich möchte gerne 2 Einträge in den Trusted Sites per Gruppenrichtlinie verteilen. Leider werden diese wie schon oben beschreiben nicht verteilt und der Grund dafür liegt wohl an der verstärkten Sicherheitskonfiguration . Leider weiß ich ebensowenig, was damit gemeint ist.

 

Vielleicht hat jemand doch noch eine Ahnung...?!

 

 

Grüße!

Link zu diesem Kommentar
Hallo,

 

bei mir gibt's die gleichen Probleme. Ich möchte gerne 2 Einträge in den Trusted Sites per Gruppenrichtlinie verteilen. Leider werden diese wie schon oben beschreiben nicht verteilt und der Grund dafür liegt wohl an der verstärkten Sicherheitskonfiguration . Leider weiß ich ebensowenig, was damit gemeint ist.

 

Vielleicht hat jemand doch noch eine Ahnung...?!

 

 

Grüße!

 

Ich habe leider auch nichts mehr dazu herausgefunden. Ich habe das Problem erstmal umgangen, in dem ich die Einträge manuell am lokalen Rechner durchgeführt habe, aber das ist doch echt ein Witz!

Link zu diesem Kommentar

Zur Info:

 

Zur Verteilung dieser Sites im Netzwerk muss die Verstärkte Sicherheitskonfiguartion für Internet Explorer installiert sein. Leider gibt's diesen Dienst nur für Windows 2003 Server.

 

Da wäre nun die Preisfrage, gibt es das auch für Windows XP?

Die andere Lösung wäre, einfach den Registry-Key:

 

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A]
"*"=dword:00000002

 

in ein ADM-File umzuschreiben und dann in die Gruppenrichtlinien einzufügen...

 

Ich warte dann mal, ob's für erste Frage ne Lösung gibt und probier mal für die zweite Lösung ein ADM zu programmieren...

 

Grüße.

Link zu diesem Kommentar

Hi nochmal,

 

ich hab mal ein ADM-File programmiert. Bin mir aber nicht sicher, ob's auch funktioniert, da ich keine Replizierung auf den Clients verzeichnen kann...

 

CLASS USER

CATEGORY "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A"
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A"

POLICY "*"
 PART "*"
 NUMERIC
 VALUENAME "*"
 END PART
END POLICY

END CATEGORY

 

...das hat Regtoadm ausgespuckt, und ich hab noch eins probiert:

 

CLASS USER

CATEGORY "Internet Explorer Security Einstellungen"
POLICY "Vertrauenswürdige Sites"
	KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A"
	VALUENAME "*"
	VALUEON "2"
	VALUEOFF Delete
END POLICY
END CATEGORY

 

Wenn sich damit jemand auskennt, wäre prima wenn ich wüsste, ob die korrekt sind.

Link zu diesem Kommentar

Ok...hat nurmal wieder ein wenig gedauert...

 

Das richtige Script wäre dann:

 

CLASS USER

CATEGORY "Internet Explorer Vertrauenswürdige Sites"
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A"
POLICY "L-P-A Domäne hinzufügen"
	PART "Wert" NUMERIC
		VALUENAME "*"
	END PART
END POLICY
END CATEGORY

 

Wobei man den Wert für "L-P-A" natürlich durch den Wert ersetzen muss, den man aktivieren möchte...

 

Gruß!

Link zu diesem Kommentar

Hallo Kollegen,

 

ihr habt vermutlich das GPO direkt auf einem Server erstellt und somit die Zoneneinstellungen dieses Servers importiert. Auf allen Server 2003 Systemen ist diese "verstärkte Sicherheitskonfiguration für Internet Explorer" installiert (Systemsteuerung/Software/Windows Komponenten ...). Diese Zoneneinstellungen sind nicht mit denen auf den Clients oder Servern ohne verstärkte Sicherheitskonfiguration kompatibel.

 

Eine Möglichkeit wäre es, auf dem Server die verstärkte Sicherheitskonfiguration zu deinstallieren und dann das GPO nochmal erstellen. Das wäre dann wieder mit den Clients kompatibel. Die verstärkten Sicherheitsrichtlinien zum Nachinstallieren auf XP Clients habe ich bisher noch nicht gesehen.

 

Viel Erfolg,

NeoLEX

Link zu diesem Kommentar
Hallo Kollegen,

 

ihr habt vermutlich das GPO direkt auf einem Server erstellt und somit die Zoneneinstellungen dieses Servers importiert. Auf allen Server 2003 Systemen ist diese "verstärkte Sicherheitskonfiguration für Internet Explorer" installiert (Systemsteuerung/Software/Windows Komponenten ...). Diese Zoneneinstellungen sind nicht mit denen auf den Clients oder Servern ohne verstärkte Sicherheitskonfiguration kompatibel.

 

Eine Möglichkeit wäre es, auf dem Server die verstärkte Sicherheitskonfiguration zu deinstallieren und dann das GPO nochmal erstellen. Das wäre dann wieder mit den Clients kompatibel. Die verstärkten Sicherheitsrichtlinien zum Nachinstallieren auf XP Clients habe ich bisher noch nicht gesehen.

 

Viel Erfolg,

NeoLEX

 

Danke! Guter Hinweis! Das hat funktioniert, auch ohne Skripte.

 

Einziger Wehrmutstropfen ist, daß ich auf dem Server die verstärkte Sicherheitskonfiguration jetzt nicht mehr einschalten kann. Wenn ich das tue, kann ich das GPO, das die Interneteinstellungen OHNE verstärkte Sicherheitskonfiguration enthält, nicht mehr verändern, weil Windows darauf besteht sie neu zu importieren (was dann natürlich nicht mehr möglich ist).

 

Das heißt der Zustand der verstärkten Sicherheitskonfiguration des Servers ist an den Zustand der verstärkten Sicherheitskonfiguration seiner Clients gebunden?! Ziemlich beknackt gemacht.

Link zu diesem Kommentar

Zur auflösung der allgemeinen Verwirrung, nochmal:

 

"Verstärkte Sicherheitskonfiguration" gibt es nur für Windows 2003 Server. Ist diese dort installiert gilt die Richtlinie auch nur für weitere Server mit "Verstärkter Sicherheitskonfiguration".

 

Will man eine GPO auf XP Clients übertragen deinstalliert man die

"Verstärkte Sicherheitskonfiguration", oder erstellt ein .ADM-file mit meinem o.a. Code und importiert dieses in den Group Policy Editor, dann hat man beides.

Link zu diesem Kommentar
  • 8 Monate später...
Danke! Guter Hinweis! Das hat funktioniert, auch ohne Skripte.

 

Einziger Wehrmutstropfen ist, daß ich auf dem Server die verstärkte Sicherheitskonfiguration jetzt nicht mehr einschalten kann. Wenn ich das tue, kann ich das GPO, das die Interneteinstellungen OHNE verstärkte Sicherheitskonfiguration enthält, nicht mehr verändern, weil Windows darauf besteht sie neu zu importieren (was dann natürlich nicht mehr möglich ist).

 

Das heißt der Zustand der verstärkten Sicherheitskonfiguration des Servers ist an den Zustand der verstärkten Sicherheitskonfiguration seiner Clients gebunden?! Ziemlich beknackt gemacht.

 

 

Vielleicht eine Anmerkung zu dem Topic... Ich hatte gerade selbst dass oben erwähnte Problem mit den Trusted Sites, wenn Ihr die MMC nicht vom Server öffnet sondern von eurem Admin Client auf WinXp-basis, dann müsste er eure Sicherheitseinstellungen vom XP-Client importieren und ihr könnt auf dem Domänen-Controller wieder die Sicherheitseinstellungen hochdrehen ... Ein Server ist schliesslich nicht zum surfen da :-)

 

bin gerade am testen ob es damit noch irgenwelche nicht bedachte Probleme gibt....

 

Gruss

Stormwind

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...