none
IE 8 Zonen konfiguration für Server 2008 R2 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    wir haben eine 2003 Domäne mit ausschließlich Win2k3 R2 Domänencontrollern. Die Clients sind mit Win 7 ausgestattet, zusätzlich gibt es noch einen Win2k8 R2 RDP Server.

    Ich habe eine GPO erstellt, die Zonen im IE für "Lokales Intranet" und "Vertrauenswürdige Seiten" konfiguriert.
    (Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteurung\Sicherheitssiete\Liste der Zonenzuweisungen) .

    Auf den Win7 Clients und dem RDP-Server wird die Richtlinie ausgeführt (die Einstellungen sind in der Registry auf beiden System vorhanden).
    Im IE des Clients werden die konfigurierten Zonen korrekt angezeigt, jedoch nicht auf dem RDP-Server.

    Verwendet wird der IE8.

    Dienstag, 6. März 2012 13:10
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden
    Am 08.03.2012 12:54, schrieb _noc:
    > Gib mir mal nen tipp, ich kann gerade damit nichts anfangen.
     
    Servermanager -> runter scrollen -> IE Optionen -> Erweiterte Sicherheit
     
    Die ESC (Enhanced Security Configuration) versucht mit einem
    Automatismus, einen nicht funktionierenden Automatismus "sicherer" zu
    gestalten.
     
    Abschalten. Taugt nichts. Kann nichts. Macht nichts.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    • Als Antwort markiert _Henry_ Freitag, 9. März 2012 14:14
    Donnerstag, 8. März 2012 12:33
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 06.03.2012 14:10, schrieb _noc:

    jedoch nicht auf dem RDP-Server.

    Dann wird der Loopback wohl im REPLACE laufen.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 6. März 2012 13:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 06.03.2012 14:10, schrieb _noc:

    jedoch nicht auf dem RDP-Server.

    Dann wird der Loopback wohl im REPLACE laufen.

    Der Loopback läuft im Modus "merge". Wie oben beschrieben, sind die Einstellungen in der Registry (Software->Policy->Microsoft->Windows->CurrentVersion->Internet Settings->ZoneMapKey) auf dem RDP-Server vorhanden. Genauso wie bei dem Win7 Clients.

    <EDIT>
    Ich habe nun ein Win2k8 R2 Server in die Domäne mit aufgenommen. Zuvor hatte ich gesehen, das MS vorab eingestellte Sites in Intranet und Vertrauenswürdig Site konfiguriert hat.

    Als ich mich mit einem Domänenuser angemeldet habe und die GPO gezogen wurde, konnte ich feststellen das nun keine Sites mehr unter Intranet oder Vertrauenswürdige sites.

    Woran kann das liegen, unter Win7 geht es, aber unter Server 2008 nicht ?

    • Bearbeitet _Henry_ Dienstag, 6. März 2012 15:21
    Dienstag, 6. März 2012 14:09
    |
  • Question
    Anmelden
    0
    Anmelden
    Irgendwelche neuen Erkenntnisse?
    Mittwoch, 7. März 2012 07:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 07.03.2012 08:35, schrieb _noc:

    Irgendwelche neuen Erkenntnisse?

    Wenn die Werte sowohl auf Win7 als auch im TS PRofil im HKCU stehen,
    dann macht deine Aussage, das es auf dem TS nicht geht, keinen Sinn.

    Denn warum sollten RegWerte, die "genauso sind" auf einmal ignoriert werden.

    Lösche die Benutzerprofile, lösche die ProfileList, verwende einen neuen
    Client, neuen TS und neuen Benutzer. Was passiert dann?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 7. März 2012 08:14
    |
  • Question
    Anmelden
    0
    Anmelden
     
    > Irgendwelche neuen Erkenntnisse?
     
    Hast Du auf dem RD-Server evtl. die COmputerpolicy "Liste der Site zu
    Zonenzuordnungen: Nur Computereinstellunge verwenden" aktiv?
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 7. März 2012 09:02
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Die GPO wird für Computer und Benutzer übernommen. Ich habe die Einstellungen jeweils einmal für Computer und Benutzer konfiguriert mit dem gleichen ergebnis.

    Ich habe ja gestern einen neuen Win2k8 R2 Rechner aufgesetzt. Als lokale Version, standen einige voreingestellten Adressen in der "Intranet-Site" und "Vertrauenswürdige-Site".

    Nachdem der Rechner nun in die Domäne aufgenommen wurde und eine GPO die Einstellungen konfigurierte, sind die vorkonfigurierten und selbst konfigurierten Adressen nicht vorhanden.

    Kann dies vielleicht jemand nachstellen?

    Danke und cu!

    Mittwoch, 7. März 2012 09:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 07.03.2012 10:34, schrieb _noc:

    sind die vorkonfigurierten und selbst konfigurierten Adressen nicht vorhanden.

    Das ist auch richtig so, denn sie Liste wird ja durch die "List of Site
    to ZoneAssignment" deiner GPO überstimmt und das ist auch so gewollt.
    Macht ja auch Sinn. Wenn es zentral definiert ist, darf es keine Lokale
    Ausnahme mehr geben, dann wäre ja der zentrale Zwang sinnlos.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 7. März 2012 09:39
    |
  • Question
    Anmelden
    0
    Anmelden

    Nicht unbedingt, ich möchte gerne meine eigenen Internen Seite hinzufügen, jedoch dem Entwickler erlauben auch andere Adressen hinzuzufügen.

    Dann ist aber immernoch die Frage offen, warum die konfigurierten Adressen nicht funktionieren. Werden die Einstellungen für den IE auf dem Server woanders konfiguriert als bei Win7. Dann würde es aber kein sinn machen, dass die vorkonfigurierten Adressen verschwinden.

    Mittwoch, 7. März 2012 10:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 07.03.2012 11:11, schrieb _noc:

    Nicht unbedingt,

    Doch. Auf jeden Fall. Es gibt kein: "ein bischen schwanger".

    Das ist ein extremes Sicherheitsfeature, da mit der Zonekonfig u.A. auch
    der Protected Mode des IE ausgehebelt werden kann.
    Wenn also die Zonen über die GPO geregelt werden, DARF ES KEINE!
    Ausnahme geben, deswegen ist die KOnfig ja über die GPO definiert.

    ich möchte gerne meine eigenen Internen Seite hinzufügen, jedoch dem
    Entwickler erlauben auch andere Adressen hinzuzufügen.

    ... dann ist er nicht von der GPO betroffen. Bau einen entsprechenden
    Filter.

    Dann ist aber immernoch die Frage offen, warum die konfigurierten Adressen nicht funktionieren.

    Weil sie in einem anderen Registry Zweig abgelegt sind, als die
    POLICIES. Ist ein Eintrag unter POLICIES vorhanden, wird dieser
    präferiert gelesen und verwendet. Der "andere" Pfad wird gar nicht erst
    ausgelesen.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort vorgeschlagen Guido Over Mittwoch, 7. März 2012 14:07
    • Nicht als Antwort vorgeschlagen _Henry_ Mittwoch, 7. März 2012 21:38
    Mittwoch, 7. März 2012 11:23
    |
  • Question
    Anmelden
    0
    Anmelden

    OK soweit verstanden. Was mir aber noch nicht klar wird, warum der 2008er Server die Einstellung nicht korrekt übernimmt!

    Fehlt im da vielleicht noch eine weitere Einstellung?

    Mittwoch, 7. März 2012 19:44
    |
  • Question
    Anmelden
    1
    Anmelden
     
    > OK soweit verstanden. Was mir aber noch nicht klar wird, warum der
    > 2008er Server die Einstellung nicht korrekt übernimmt!
    >
     
    Hast Du die erweiterte Sicherheitskonfiguration des IE noch aktiv? Nach
    meiner Erfahrung funktioniert die Zonenzuordnung dann nicht mehr...
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 8. März 2012 11:40
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Hast Du die erweiterte Sicherheitskonfiguration des IE noch aktiv? Nach
    meiner Erfahrung funktioniert die Zonenzuordnung dann nicht mehr...

    Gib mir mal nen tipp, ich kann gerade damit nichts anfangen.

    Wo kann ich dies konfigurieren, lokal an der maschine oder GPO?

    Donnerstag, 8. März 2012 11:54
    |
  • Question
    Anmelden
    2
    Anmelden
     
    > Gib mir mal nen tipp, ich kann gerade damit nichts anfangen.
     
    Hm - Suchmaschine kaputt? ((-:
     
     
    (Offiziell heißts auf deutsch "verstärkt" statt erweitert, ist aber
    trotzdem der erste Treffer...)
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 8. März 2012 12:28
    |
    Beantworter
  • Question
    Anmelden
    2
    Anmelden
    Am 08.03.2012 12:54, schrieb _noc:
    > Gib mir mal nen tipp, ich kann gerade damit nichts anfangen.
     
    Servermanager -> runter scrollen -> IE Optionen -> Erweiterte Sicherheit
     
    Die ESC (Enhanced Security Configuration) versucht mit einem
    Automatismus, einen nicht funktionierenden Automatismus "sicherer" zu
    gestalten.
     
    Abschalten. Taugt nichts. Kann nichts. Macht nichts.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    • Als Antwort markiert _Henry_ Freitag, 9. März 2012 14:14
    Donnerstag, 8. März 2012 12:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Joa die ESC einstellungen haben meine GPO behindert.

    Mit dieser Einstellung hatte ich bisher keine erfahrung sammeln können. Ist auch wieder mal interessant was es alles wieder gibt.

    Freitag, 9. März 2012 14:14
    |