odrhuen 10 Geschrieben 26. Oktober 2012 Melden Teilen Geschrieben 26. Oktober 2012 Hallo zusammen, ich suche eine Art Best-Practice, mit der folgendes erreicht werden soll: Ich habe eine Windows-Domäne (2k8r2). In dieser existieren 2 User (A und B). B ist externer Kunde im Unternehmen von A. Das Unternehmen verfügt über genau 1 PC der im lokalen Netzwerk angebunden ist. A und B teilen sich den PC und melden sich mit ihren jeweiligen Kennungen an der Domäne an. Ziel ist es nun, dass B auf eine bestimmte Seite im Intranet nicht zugreifen kann (mit dem Internet Explorer und auch nur der ist relevant in diesem Fall) Mein Weg bis dato: Ich rolle folgende gpo aus: User Configuration --> Policies --> Windows Settings --> IE Maintenance --> Security --> Security Zones and Content Ratings --> content ratings / import / modify --> approved sites --> www.seite-xy.de - "never" Natürlich beschränke ich in der gpo mit Hilfe des Security-Filters die Wirksamkeit der gpo auf Benutzer B. Nun zu dem Teil, der mir persönlich einfach nicht klar werden will: Sobald User B sich an der Domäne anmeldet und die GPO greift, legt Windows unter HKLM (ihr wisst jetzt sicher worauf ich hinaus will)/Software/Microsoft/Windows/CurrentVersion/Policies/Ratings/PICSRules/.Default/0/PRPolicy entsprechende Keys an. Nun, die gpo soll nur für User B gelten, warum in wessen Namen auch immer, legt windows den Key nicht unter HKCU an? Oder bin ich nur blind und die entsprechenden Einträge werden dupliziert auch in HKCU angelegt? Noch eins zum Setting, es handelt sich um Windows Server 2008 R2 und Windows 7 Enterprise x64. Die Umgebung dient mir zum Rumspielen im Zuge der Vorbereitung für mcts 70-680. Außer der genannten gpo sind nur Default-Werte auf dem System aktiv. Ich danke euch für eure Hilfe und bitte euch über evtl. falsche Formulierungen, die aus meinem noch nicht vorhandenen Experten-Wissen resultieren, hinwegzusehen. Danke schonmal und viele Grüße. Zitieren Link zu diesem Kommentar
Chrigel 10 Geschrieben 7. November 2012 Melden Teilen Geschrieben 7. November 2012 Salut, versuche es einmal mit folgendem GPO: User Configuration\Policies\Administrativ Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Site to Zone Assignment List Da müsstest Du beliebige Domains als Restricted definieren können. Gruss Chrigel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.