Jordy 10 Geschrieben 2. Dezember 2004 Melden Teilen Geschrieben 2. Dezember 2004 Hallo Leute! Eine Frage zu Gruppenrichtlinien und Sicherheitszonen. Ich habe hier Probleme mit Access-Datenbanken auf unserem Server. Bei einem Zugriff auf die Dateien, über den Windows Explorer und ein Netzlaufwerk, behauptet Access, es wolle die Datei nicht öffnen, da sie in einer unsicheren Zone liege. Eine lokale Kopie läuft, aber ist nicht gewollt. Wenn man sich über das gesamte Netzwerk auf den server durchclickt, läuft sie auch. Offenbar begreift das System bei einem Zugriff über ein Netzlaufwerk nicht, daß es sich bei dem Pfad um einen UNC Pfad in der Intranetzone handelt. Nun gut, das ist nichts das Problem. Immerhin kann die Intranetzone ja erweitert werden. Lokal auf dem PC ist das simpel: Systemsteuerung->Internetoptionen->Sicherheit->Lokales Intranet->Sites->Erweitert->Servername eingeben->Hinzufügen. Schon funktioniert der Zugriff auf die Datenbankdatei. Alternativ läßt sich auch die Sicherheitsstufe für die Internetzone verringern, aber das wäre natürlich schlecht. Jetzt will ich das aber in der ganzen Domäne verteilen. Also erstelle ich ein GPO: Benutzerkonfiguration->Windows-Einstellungen->Internet Explorer-Wartung->Sicherheit->Sicherheitszonen und Inhaltsfilter->Sicherheitszonen und Datenschutz. Dort also die Zoneneinstellungen vom Server importiert ("Weiter" klicken dann öffnet sich ein Konfigurationsfenster, das dem aus der Systemsteuerung gleicht) und entsprechend den Wünschen angepaßt, das heißt auch hier den Servernamen eingegeben. Tja, nur kommt diese Richtlinie nicht an. Wenn man sich an der Domäne anmeldet und dort auf dem lokalen Rechner die Interneteinstellungen kontrolliert, ist nichts von den Richtlinien zu sehen. Ich vermute dieses Problemhängt mit der "Verstärkten Sicherheitskonfiguration für den Internet Explorer" zusammen. Zumindest ist in der Beschreibung der betreffenden GPO erwähnt, daß diese notwendig sei. Jetzt stellen sich mir mehrere Fragen: Im Internet ist beschrieben, diese verstärkte Sicherheitskonfiguration ließe sich nachinstallieren (Systemsteuerung->Software->Windowskomponenten), jedoch finde ich unter Windows 2000 weder dort noch sonstwo eine Möglichkeit dazu. Ich habe bisher ehrlich gesagt auch noch nicht verstanden wozu das gut sein soll und wo der Zusammenhang mit den Sicherheitzonen ist. Immerhin kennt auch das normale Windows 2000 bereits Sicherheitszonen. Im übrigen sind die Informationen zu dem Thema mehr als dünn gestreut. Jedenfalls komme ich nicht weiter. Gibt es eine Möglichkeit Zoneneinstellungen für Windows2000 Clients per GPO zu verteilen? Oder vielleicht einen Weg die verstärkten Sicherheitskonfiguration für den Internet Explorer nachzuinstallieren? Oder eine ganz andere Lösung für das ursprüngliche Datenbankdatei-Problem? Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 21. Februar 2005 Melden Teilen Geschrieben 21. Februar 2005 Hallo, bei mir gibt's die gleichen Probleme. Ich möchte gerne 2 Einträge in den Trusted Sites per Gruppenrichtlinie verteilen. Leider werden diese wie schon oben beschreiben nicht verteilt und der Grund dafür liegt wohl an der verstärkten Sicherheitskonfiguration . Leider weiß ich ebensowenig, was damit gemeint ist. Vielleicht hat jemand doch noch eine Ahnung...?! Grüße! Zitieren Link zu diesem Kommentar
Jordy 10 Geschrieben 21. Februar 2005 Autor Melden Teilen Geschrieben 21. Februar 2005 Hallo, bei mir gibt's die gleichen Probleme. Ich möchte gerne 2 Einträge in den Trusted Sites per Gruppenrichtlinie verteilen. Leider werden diese wie schon oben beschreiben nicht verteilt und der Grund dafür liegt wohl an der verstärkten Sicherheitskonfiguration . Leider weiß ich ebensowenig, was damit gemeint ist. Vielleicht hat jemand doch noch eine Ahnung...?! Grüße! Ich habe leider auch nichts mehr dazu herausgefunden. Ich habe das Problem erstmal umgangen, in dem ich die Einträge manuell am lokalen Rechner durchgeführt habe, aber das ist doch echt ein Witz! Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 21. Februar 2005 Melden Teilen Geschrieben 21. Februar 2005 Das ist für mich nicht akzeptabel. Ich such mal weiter nach einer Lösung. Wenn ich was finde, poste ich's... Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 21. Februar 2005 Melden Teilen Geschrieben 21. Februar 2005 Zur Info: Zur Verteilung dieser Sites im Netzwerk muss die Verstärkte Sicherheitskonfiguartion für Internet Explorer installiert sein. Leider gibt's diesen Dienst nur für Windows 2003 Server. Da wäre nun die Preisfrage, gibt es das auch für Windows XP? Die andere Lösung wäre, einfach den Registry-Key: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A] "*"=dword:00000002 in ein ADM-File umzuschreiben und dann in die Gruppenrichtlinien einzufügen... Ich warte dann mal, ob's für erste Frage ne Lösung gibt und probier mal für die zweite Lösung ein ADM zu programmieren... Grüße. Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 21. Februar 2005 Melden Teilen Geschrieben 21. Februar 2005 Hi nochmal, ich hab mal ein ADM-File programmiert. Bin mir aber nicht sicher, ob's auch funktioniert, da ich keine Replizierung auf den Clients verzeichnen kann... CLASS USER CATEGORY "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A" KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A" POLICY "*" PART "*" NUMERIC VALUENAME "*" END PART END POLICY END CATEGORY ...das hat Regtoadm ausgespuckt, und ich hab noch eins probiert: CLASS USER CATEGORY "Internet Explorer Security Einstellungen" POLICY "Vertrauenswürdige Sites" KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A" VALUENAME "*" VALUEON "2" VALUEOFF Delete END POLICY END CATEGORY Wenn sich damit jemand auskennt, wäre prima wenn ich wüsste, ob die korrekt sind. Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 21. Februar 2005 Melden Teilen Geschrieben 21. Februar 2005 Ok...hat nurmal wieder ein wenig gedauert... Das richtige Script wäre dann: CLASS USER CATEGORY "Internet Explorer Vertrauenswürdige Sites" KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\L-P-A" POLICY "L-P-A Domäne hinzufügen" PART "Wert" NUMERIC VALUENAME "*" END PART END POLICY END CATEGORY Wobei man den Wert für "L-P-A" natürlich durch den Wert ersetzen muss, den man aktivieren möchte... Gruß! Zitieren Link zu diesem Kommentar
Jordy 10 Geschrieben 22. Februar 2005 Autor Melden Teilen Geschrieben 22. Februar 2005 Ok...hat nurmal wieder ein wenig gedauert... Das richtige Script wäre dann: (...) Wobei man den Wert für "L-P-A" natürlich durch den Wert ersetzen muss, den man aktivieren möchte... Gruß! Ok, danke. Da ich nicht weiß was ADM Scripte sind, werde ich aber vermutlich einige Zeit brauchen um damit zurecht zu kommen :-) Zitieren Link zu diesem Kommentar
NeoLEX 10 Geschrieben 22. Februar 2005 Melden Teilen Geschrieben 22. Februar 2005 Hallo Kollegen, ihr habt vermutlich das GPO direkt auf einem Server erstellt und somit die Zoneneinstellungen dieses Servers importiert. Auf allen Server 2003 Systemen ist diese "verstärkte Sicherheitskonfiguration für Internet Explorer" installiert (Systemsteuerung/Software/Windows Komponenten ...). Diese Zoneneinstellungen sind nicht mit denen auf den Clients oder Servern ohne verstärkte Sicherheitskonfiguration kompatibel. Eine Möglichkeit wäre es, auf dem Server die verstärkte Sicherheitskonfiguration zu deinstallieren und dann das GPO nochmal erstellen. Das wäre dann wieder mit den Clients kompatibel. Die verstärkten Sicherheitsrichtlinien zum Nachinstallieren auf XP Clients habe ich bisher noch nicht gesehen. Viel Erfolg, NeoLEX Zitieren Link zu diesem Kommentar
Jordy 10 Geschrieben 22. Februar 2005 Autor Melden Teilen Geschrieben 22. Februar 2005 Hallo Kollegen, ihr habt vermutlich das GPO direkt auf einem Server erstellt und somit die Zoneneinstellungen dieses Servers importiert. Auf allen Server 2003 Systemen ist diese "verstärkte Sicherheitskonfiguration für Internet Explorer" installiert (Systemsteuerung/Software/Windows Komponenten ...). Diese Zoneneinstellungen sind nicht mit denen auf den Clients oder Servern ohne verstärkte Sicherheitskonfiguration kompatibel. Eine Möglichkeit wäre es, auf dem Server die verstärkte Sicherheitskonfiguration zu deinstallieren und dann das GPO nochmal erstellen. Das wäre dann wieder mit den Clients kompatibel. Die verstärkten Sicherheitsrichtlinien zum Nachinstallieren auf XP Clients habe ich bisher noch nicht gesehen. Viel Erfolg, NeoLEX Danke! Guter Hinweis! Das hat funktioniert, auch ohne Skripte. Einziger Wehrmutstropfen ist, daß ich auf dem Server die verstärkte Sicherheitskonfiguration jetzt nicht mehr einschalten kann. Wenn ich das tue, kann ich das GPO, das die Interneteinstellungen OHNE verstärkte Sicherheitskonfiguration enthält, nicht mehr verändern, weil Windows darauf besteht sie neu zu importieren (was dann natürlich nicht mehr möglich ist). Das heißt der Zustand der verstärkten Sicherheitskonfiguration des Servers ist an den Zustand der verstärkten Sicherheitskonfiguration seiner Clients gebunden?! Ziemlich beknackt gemacht. Zitieren Link zu diesem Kommentar
Darksun777 10 Geschrieben 22. Februar 2005 Melden Teilen Geschrieben 22. Februar 2005 Hallo, hm komisch, bei mir funzt es... ich habe auch via GPO die Netzlaufwerke in die Trusted Sites aufgenommen ... bei mir wird es auf die XP-Clients verteilt und es funzt ... Kann euch aber leider nicht sagen was bei euch schief läuft Zitieren Link zu diesem Kommentar
Jordy 10 Geschrieben 22. Februar 2005 Autor Melden Teilen Geschrieben 22. Februar 2005 Hallo, hm komisch, bei mir funzt es... ich habe auch via GPO die Netzlaufwerke in die Trusted Sites aufgenommen ... bei mir wird es auf die XP-Clients verteilt und es funzt ... Kann euch aber leider nicht sagen was bei euch schief läuft Ist auf deinen Clients auch die "verstärkte Sicherheitskonfiguration" installiert? Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 23. Februar 2005 Melden Teilen Geschrieben 23. Februar 2005 Zur auflösung der allgemeinen Verwirrung, nochmal: "Verstärkte Sicherheitskonfiguration" gibt es nur für Windows 2003 Server. Ist diese dort installiert gilt die Richtlinie auch nur für weitere Server mit "Verstärkter Sicherheitskonfiguration". Will man eine GPO auf XP Clients übertragen deinstalliert man die "Verstärkte Sicherheitskonfiguration", oder erstellt ein .ADM-file mit meinem o.a. Code und importiert dieses in den Group Policy Editor, dann hat man beides. Zitieren Link zu diesem Kommentar
Darksun777 10 Geschrieben 23. Februar 2005 Melden Teilen Geschrieben 23. Februar 2005 ^^ ich habe nichts von alle dem gemacht und es funktioniert trotzdem! Zitieren Link zu diesem Kommentar
Stormwind 10 Geschrieben 3. November 2005 Melden Teilen Geschrieben 3. November 2005 Danke! Guter Hinweis! Das hat funktioniert, auch ohne Skripte. Einziger Wehrmutstropfen ist, daß ich auf dem Server die verstärkte Sicherheitskonfiguration jetzt nicht mehr einschalten kann. Wenn ich das tue, kann ich das GPO, das die Interneteinstellungen OHNE verstärkte Sicherheitskonfiguration enthält, nicht mehr verändern, weil Windows darauf besteht sie neu zu importieren (was dann natürlich nicht mehr möglich ist). Das heißt der Zustand der verstärkten Sicherheitskonfiguration des Servers ist an den Zustand der verstärkten Sicherheitskonfiguration seiner Clients gebunden?! Ziemlich beknackt gemacht. Vielleicht eine Anmerkung zu dem Topic... Ich hatte gerade selbst dass oben erwähnte Problem mit den Trusted Sites, wenn Ihr die MMC nicht vom Server öffnet sondern von eurem Admin Client auf WinXp-basis, dann müsste er eure Sicherheitseinstellungen vom XP-Client importieren und ihr könnt auf dem Domänen-Controller wieder die Sicherheitseinstellungen hochdrehen ... Ein Server ist schliesslich nicht zum surfen da :-) bin gerade am testen ob es damit noch irgenwelche nicht bedachte Probleme gibt.... Gruss Stormwind Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.