GPO Internet Explorer Trusted Sites

[Cr0wl3r 10]

Hallo,

 

Ich  habe ein kleines Problem mit einer Software auf einem Terminalserver, Windows Server 2008 R2 (Citrix Xen App 6.5).

Die Applikation verwendet den Internet Explorer und bei jedem Start der Anwendung bekommt der User erst einmal eine Fehlermeldung, dass die URL zu den Trusted Sites hinzugefügt werden soll.

 

Ich habe nun eine GPO erstellt die die betreffende URL in die Trusted Sites einfügen soll.

Die Konfiguration habe ich unter "User Configuration \ Policies \ Windows Settings \ Internet Explorer Maintenance \ Security \ Security Zones and Content Ratings" vorgenommen.

 

Leider wird die Konfiguration der GPO nicht auf dem Zielserver ausgeführt , die entsprechende URL wird nicht in die Trusted Sites hinzugefügt.

Laut gpresult wird die GPO ausgeführt.

Laut rsop.msc wird das entsprechende Setting GPO konfiguriert, siehe Screenshot.

 

Hat jemand eine Idee?

 

[testperson 1.674]

Hi,

 

nutze nicht die Internetnet Explorer Wartung sondern den Zweig unter Richtlinien -> Administrative Vorlagen -> Windows Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Sicherheitsseite -> Liste der Site zu Zonenzuweisung.

 

Wenn die Benutzer selber noch Seiten zur Zone hinzufügen können sollen, dann müsstest du das ganze per GPP Registry Einträge machen.

 

Es könnte generell nicht schaden, deine GPOs von einem aktuelleren Client zu bearbeiten, auf dem die Gruppenrichtlinienverwaltung läuft.

 

Gruß

Jan

[Cr0wl3r 10]

Hi,

 

auch eine GPO mit der Konfiguration über die "Liste der Site zu Zonenzuweisung" erzielt keine Wirkung.

Habe die entsprechende URL mit dem Value "2" hinzugefügt.

 

Die User sollen selbst keine Seiten zu Zonen hinzufügen können.

Derzeit ist es auch nicht möglich da die Funktion deaktiviert ist (siehe Screenshot)

 

Es könnte generell nicht schaden, deine GPOs von einem aktuelleren Client zu bearbeiten, auf dem die Gruppenrichtlinienverwaltung läuft.

Meine Gruppenrichtlinienverwaltung läuft ebenfalls auf einem Windows Server 2008 R2,  was neueres haben wir hier leider nicht.

[Sunny61 806]

Welchen Browser verwenden die User auf den Clients? Ab bzw. incl. IE10 wird die IE-Wartung nicht mehr unterstützt. Dein Server ist nicht aktuell. IE11 ist auch für Server 2008R2 der aktuelle Browser.

[Cr0wl3r 10]

Habe grade etwas entsetzt festgestellt das auf dem Server noch IE8 installiert ist.

Allerdings sollte ja dann die IE-Wartung theoretisch greifen.

 

Meint ihr das es an dem veralteten IE liegen kann?

[Sunny61 806]

Habe grade etwas entsetzt festgestellt das auf dem Server noch IE8 installiert ist.

Allerdings sollte ja dann die IE-Wartung theoretisch greifen.

Ja, sollte sie. Liegt denn der betroffene Benutzer auch im Verwaltungsbereich des GPO?

Und ja, Du solltest den IE8 upgraden.

 

 

Meint ihr das es an dem veralteten IE liegen kann?

Nein, eher ist das GPO falsch verlinkt bzw. kommt nicht an.

 

Lass ein gpresult /H >gpresult.html auf der Commandline laufen. Findest du die Einstellungen des GPO?

[Cr0wl3r 10]

Hi,

 

nach Rücksprache mit unserem Mutterkonzern darf ich den IE nicht updaten da die neue Version bei uns nicht freigegeben ist. Ob das Sinnvoll ist oder nicht lass ich mal so im Raum stehen.

 

Die Gruppenrichtlinie ist richtig verlinkt und wird laut gpresult auch angewandt allerdings sagt der IE da was anderes.

Unter den trusted sites wird der Eintrag einfach nicht gesetzt.

Laut eventlog ist auch alles in Ordnung.

 

 

[Cr0wl3r 10]

Wie ich nun herausgefunden habe wird das Anhanced Security Feature auf einem Terminal Server  nicht komplett deaktiviert (http://support.microsoft.com/kb/933991/de)

Nachdem ich den Registry Key IEHarden unter HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap von "1" auf "0" geändert habe greift die GPO nun auch komplett.

 

Trotzdem danke für eure Hilfe!

[Sunny61 806]

Freut mich für Dich und Danke für die Rückmeldung. ;)

 

Trotzdem solltest Du das updaten des IE beim Mutterkonzern forcieren.