none
IE8 konfigurieren in 2008 Domäne RRS feed

  • Frage

  • Hi zusammen,
     
    irgendwie stehe ich gerade auf dem Schlauch, bei einem Thema was ich eigentlich
    schon mal abgehakt hatte. Deshalb frage ich einfach noch mal nach...
     
    Umgebung:
    Windows 2008 Domäne (nicht R2)
    Vista Client zum Konfigurieren der GPOs
    Clients: Windows XP SP3 mit dem CSE-Patch und I8
     
    Welche Voraussetzungen müssen gegeben sein, damit ich auf dem Vista Client
    alle IE8-Einstellungen verwalten kann? Ich meine zum einen bei den Preferences
    unter "Control Panel Settings / Internet Settings" das Hinzufügen einer Internet
    Explorer 8 Konfiguration (standardmäßig nur IE5+6, IE7 auswählbar) und die
    neuen Einstellmöglichkeiten (des IE8s) unter "Administrative Templates /
    Windows Components / Internet Explorer". Das wäre eleganter als einfach nur
    einzelne RegKeys zu verteilen.
     
    Muss dafür auch dem Domänen Controller der IE8 installiert werden?
     
    Grüße
    Udo
     
     
     
    Donnerstag, 10. Juni 2010 14:32

Antworten

  • "Udo Linnenschmidt" schrieb
    Hi,

    Muss dafür auch dem Domänen Controller der IE8 installiert werden?

    Greif dir einen Windows 7 PC und installiere darauf das RSAT für Windows 7, dann siehst du auch den IE8 in den GPP.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Donnerstag, 10. Juni 2010 14:45
    Moderator
  • huhu,

    Am 10.06.2010 23:01, schrieb Udo Linnenschmidt:

    Wenn ich auf dem DC den IE8 installieren würde (was ich aber nicht
    will) würde das theoretisch dann auch gehen?

    Ich falle mal Norbert in den Rücken, aber die Konfiguration in den
    Preferences unterscheidet sich nur an einer ganz kleinen Stelle.

    Betrachten wir mal die GUI des Editors:
    Vista/2008 -> IE 5+5 und IE7
    W7/2008R2  -> IE 5+5, IE7 und IE8

    Die Oberfläche die sich bei IE8 Auwahl oder IE7 öffnet, ist nur
    unterschiedlich zum IE5/6, aber ansonsten sin IE7/8 identisch.

    Wo ist also der Unterschied?
    ----> im XML!

    Erstelle eine IE7 Konfiguration mit 2008/Vista oder eine IE7 mit
    W7/2008R2 und zusätzlich eine für IE8, schau in das XML,
    dann steht darin:

    IE7 Konfig: type="VERSION" min="7.0.0.0" max="8.0.0.0"

    IE8 Konfig: type="VERSION" min="8.0.0.0" max="9.0.0.0"

    Bedeutet also: Die IE7 Konfiguration gilt bei Vista/2008 auch
    für den IE8, ab W7 gilt sie sogar für den IE9.

    Es quasi nur ein automatischer WMI Filter, der über die Auswahl
    in die GUI integriert ist.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate

    Freitag, 11. Juni 2010 08:16

Alle Antworten

  • "Udo Linnenschmidt" schrieb
    Hi,

    Muss dafür auch dem Domänen Controller der IE8 installiert werden?

    Greif dir einen Windows 7 PC und installiere darauf das RSAT für Windows 7, dann siehst du auch den IE8 in den GPP.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Donnerstag, 10. Juni 2010 14:45
    Moderator
  • Hi,

    wenn ich einen Windows 7 Client habe brauche ich lediglich die RSAT-Tools und muss am DC nix machen. Ok.

    Was aber muss ich denn machen, damit es auch mit dem Vista-Client geht? Oder geht das mit dem nicht?

    Wenn ich auf dem DC den IE8 installieren würde (was ich aber nicht will) würde das theoretisch dann auch gehen?

    Tschö

    Udo

    Donnerstag, 10. Juni 2010 21:01
  • "Udo Linnenschmidt" schrieb
    Hi,

    wenn ich einen Windows 7 Client habe brauche ich lediglich die RSAT-Tools
    und muss am DC nix machen. Ok.

    Korrekt. Am DC usw. ändert sich genau nichts. Du solltest ab dann aber die GPOs nur noch mit W7 administrieren.

    Was aber muss ich denn machen, damit es auch mit dem Vista-Client geht?
    Oder geht das mit dem nicht?

    Letzteres. Zumindest ist mir nichts bekannt.

    Wenn ich auf dem DC den IE8 installieren würde (was ich aber nicht will)
    würde das theoretisch dann auch gehen?

    Nein.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Donnerstag, 10. Juni 2010 21:07
    Moderator
  • Hallo Norbert Fehlauer [MVP],
     
    > Korrekt. Am DC usw. ändert sich genau nichts. Du solltest ab dann aber
    > die GPOs nur noch mit W7 administrieren.
     
    Was würde denn passieren, wenn man die GPOs trotzdem noch mit Vista-Clients
    (z.B. von anderen Kollegen) konfiguriert werden würden? Man würde dann am
    Vista-Client die gesetzten IE8-Einstellungen nicht sehen, aber kaputt dürfte
    dadurch doch nix gehen, oder sehe ich das falsch?
     
    Gruß
    Udo
     
     
     
    Freitag, 11. Juni 2010 07:18
  • huhu,

    Am 10.06.2010 23:01, schrieb Udo Linnenschmidt:

    Wenn ich auf dem DC den IE8 installieren würde (was ich aber nicht
    will) würde das theoretisch dann auch gehen?

    Ich falle mal Norbert in den Rücken, aber die Konfiguration in den
    Preferences unterscheidet sich nur an einer ganz kleinen Stelle.

    Betrachten wir mal die GUI des Editors:
    Vista/2008 -> IE 5+5 und IE7
    W7/2008R2  -> IE 5+5, IE7 und IE8

    Die Oberfläche die sich bei IE8 Auwahl oder IE7 öffnet, ist nur
    unterschiedlich zum IE5/6, aber ansonsten sin IE7/8 identisch.

    Wo ist also der Unterschied?
    ----> im XML!

    Erstelle eine IE7 Konfiguration mit 2008/Vista oder eine IE7 mit
    W7/2008R2 und zusätzlich eine für IE8, schau in das XML,
    dann steht darin:

    IE7 Konfig: type="VERSION" min="7.0.0.0" max="8.0.0.0"

    IE8 Konfig: type="VERSION" min="8.0.0.0" max="9.0.0.0"

    Bedeutet also: Die IE7 Konfiguration gilt bei Vista/2008 auch
    für den IE8, ab W7 gilt sie sogar für den IE9.

    Es quasi nur ein automatischer WMI Filter, der über die Auswahl
    in die GUI integriert ist.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate

    Freitag, 11. Juni 2010 08:16
  • Hi Mark!
     
    > Die Oberfläche die sich bei IE8 Auwahl oder IE7 öffnet, ist nur
    > unterschiedlich zum IE5/6, aber ansonsten sin IE7/8 identisch.
    D.h. auch wenn ich dort IE8 auswählen könnte, hätte ich dort keine Einstellmöglichkeiten
    die ich unter IE7 nicht habe? Also ist es !an dieser Stelle! vollkommen ausreichend
    IE7 auszuwählen?
     
    Dann hier mal mein eigentliches Problem:
    Der IE8 bietet eine neue Funktion. Unter "Erweitert / Sicherheit" gibt es
    den Punkt "Speicherschutz aktivieren, um das Risiko von Onlineangriffen zu
    verringern". Dieses (standardmäßig aktivierte) Sicherheitsfeature mag seine
    Berechtigung haben, führt aber oft dazu, dass ActiveX-Elemente sich nicht
    installieren lassen und der IE8 abstürzt. Aktuell tritt es bei uns in Verbindung
    mit WebEx auf. Für eine interne Aktion muss ich zumindest kurzfristig diesen
    Speicherschutz deaktivieren. Den Regkey habe ich gefunden und das funzt auch
    über die Preferences. Dann habe ich aber ein Tatooing. Eleganter wäre es,
    wenn ich die Konfiguration unter den Administrativen Vorlagen machen könnte.
    Da habe ich diesen Punkt aber nicht, da mir der Vista-Client keine "IE8-GPO-Verwaltungsmöglichkeit"
    bietet und die Option nun mal erst mit dem IE8 gekommen ist. Soweit ich weiß
    würde der Punkt sonst unter "Computer / Admin Templates / Windows Components
    / Internet Explorer / Security Features / Turn off Data Execution" stehen.
     
    Deshalb also suche ich die Möglichkeit den IE8 (bzw. speziell seine neuen
    Features) über die GPO zu konfigurieren. Das geht nur mit einem Win7 Client
    und den RSAT-Tools, nicht aber mit dem Vista-Client? Reicht es nicht aus die "IE-admx" auf dem Vista-Client auszutauschen?
     
    Beste Grüße
    Udo
     
     
     
    Freitag, 11. Juni 2010 11:12
  • "Udo Linnenschmidt" schrieb:

    Hi,

    Was würde denn passieren, wenn man die GPOs trotzdem noch mit Vista-Clients
    (z.B. von anderen Kollegen) konfiguriert werden würden?

    Dann würde die Welt aufhören zu drehen und es würde Pech und Schwefel regnen. Achne falsches Szenario ;)
    http://blogs.technet.com/askds/archive/2009/12/09/windows-7-windows-server-2008-r2-and-the-group-policy-central-store.aspx

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Freitag, 11. Juni 2010 12:10
    Moderator
  • Hi,

    Am 11.06.2010 13:12, schrieb Udo Linnenschmidt:

    D.h. auch wenn ich dort IE8 auswählen könnte, hätte ich dort keine
    Einstellmöglichkeiten die ich unter IE7 nicht habe? Also ist es !an
    dieser Stelle! vollkommen ausreichend IE7 auszuwählen?

    Richtig. Denn ich bin ziemlich sicher, daß die GUI zw. 7 und 8 nicht
    wechselt, jedenfalls ist es mir noch nicht aufgefallen.

    [...] Den Regkey habe ich gefunden und das funzt auch über die
    Preferences. Dann habe ich aber ein Tatooing. Eleganter wäre es,
    wenn ich die Konfiguration unter den Administrativen Vorlagen machen
    könnte. Da habe ich diesen Punkt aber nicht,

    Wenn sie in den orginal MS Templates drin sind, dann reicht es ja, wenn
    du die ADMX/ADML von W7 auf einen Vista Client kopierst.
    Oder den Central Store nutzt.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate

    Freitag, 11. Juni 2010 12:49
  • "Mark Heitbrink [MVP]" schrieb:
    Hi,

    Ich falle mal Norbert in den Rücken,

    Ja, das kenne ich ja nicht anders von dir. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Freitag, 11. Juni 2010 16:41
    Moderator
  • Hallo Norbert & Mark,

      > Hi,
      > Was würde denn passieren, wenn man die GPOs trotzdem noch mit
      > Vista-Clients z.B. von anderen Kollegen) konfiguriert werden würden?

    > http://blogs.technet.com/askds/archive/2009/12/09/windows-7-windows-se
    > rver-2008-r2-and-the-group-policy-central-store.aspx
    > Bye
    > Norbert

    Hmmh, also wir nutzen den Central Store. Mark ist ja glaube ich kein Freund vom CS.
    Wenn ich das richtig verstanden habe, bringt mir der Win7-Client nix, da seine lokalen ADMX-Dateien nicht zur Geltung kommen, durch den CS. D.h. ich müsste die ganzen ADMX und ADML-Dateien vom Win7-Client in den CS kopieren (damit hätte ich schon mal etwas Bauchschmerzen). Das könnte zur Folge haben, dass die Vista-Clients beim Öffnen der GPO-Konsole eine Fehlermeldung erhalten, sodass ich danach zum Konfigurieren nur noch Win7-Clients nutzen kann. Verstanden.

    Die einfache Lösung (bestätigte ja auch Mark), wäre dann erst mal die entsprechende ADMX/ADML-Datei auf einem Win7-Client zu finden (weiß jemand zufällig welche das ist?) welche die neuen IE8-Features enthält und im CS abzulegen. Damit sollte dann auch der Vista-Client klar kommen und wenn nicht, kann man die Aktion ja direkt wieder rückgängig machen. Agree?

    Gruß
    Udo

    P.S. Das mit der NNTP-Bridge und meinem Newsreader (Omea Reader 2.2) läuft wie ein Sack Flöhe. Ständig muss ich mich neu anmelden, damit das mit dem Posten klappt oder auch trotzdem nicht.
    Montag, 14. Juni 2010 09:39
  • Am 14.06.2010 schrieb Udo Linnenschmidt:

    P.S. Das mit der NNTP-Bridge und meinem Newsreader (Omea Reader 2.2) läuft wie ein Sack Flöhe. Ständig muss ich mich neu anmelden, damit das mit dem Posten klappt oder auch trotzdem nicht.

    Welche Bridge nutzt Du? die von Jochen Kalmbach wird ständig weiter
    entwickelt und sollte besser laufen.
    http://communitybridge.codeplex.com/

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 14. Juni 2010 09:56
  • "Udo Linnenschmidt" schrieb:
    Hi,

    Hmmh, also wir nutzen den Central Store. Mark ist ja glaube ich kein Freund
    vom CS.

    Hmm, hab ich keine Ahnung wie Marks Ansicht dazu ist.

    Wenn ich das richtig verstanden habe, bringt mir der Win7-Client nix, da
    seine lokalen ADMX-Dateien nicht zur Geltung kommen, durch den CS.

    Kann man glaub ich aber konfigurieren.

    D.h. ich müsste die ganzen ADMX und ADML-Dateien vom Win7-Client in den CS kopieren
    (damit hätte ich schon mal etwas Bauchschmerzen).

    Warum?

    Das könnte zur Folge
    haben, dass die Vista-Clients beim Öffnen der GPO-Konsole eine
    Fehlermeldung erhalten, sodass ich danach zum Konfigurieren nur noch
    Win7-Clients nutzen kann. Verstanden.

    Ja, wäre sinnvoller.

    Die einfache Lösung (bestätigte ja auch Mark), wäre dann erst mal die
    entsprechende ADMX/ADML-Datei auf einem Win7-Client zu finden (weiß jemand
    zufällig welche das ist?) welche die neuen IE8-Features enthält und im CS
    abzulegen. Damit sollte dann auch der Vista-Client klar kommen und wenn
    nicht, kann man die Aktion ja direkt wieder rückgängig machen. Agree?

    Hmm keine Ahnung, welche Einstellung des IE vermißt du denn?

    P.S. Das mit der NNTP-Bridge und meinem Newsreader (Omea Reader 2.2) läuft
    wie ein Sack Flöhe. Ständig muss ich mich neu anmelden, damit das mit dem
    Posten klappt oder auch trotzdem nicht.

    Hat Winfried dir schon was empfohlen. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Montag, 14. Juni 2010 10:04
    Moderator
  • Hallo Norbert Fehlauer [MVP],
     
    > D.h. ich müsste die ganzen ADMX und ADML-Dateien vom Win7-Client in
    > den CS kopieren
    > (damit hätte ich schon mal etwas Bauchschmerzen).
      > Warum?
        > Warum ich damit Bauchschmerzen habe? Weil ich einfach ungern am Server
    rumfummel, wenn es sich vermeiden lässt  
     
    > Die einfache Lösung (bestätigte ja auch Mark), wäre dann erst mal die
    > entsprechende ADMX/ADML-Datei auf einem Win7-Client zu finden (weiß
    > jemand zufällig welche das ist?) welche die neuen IE8-Features enthält
    und im
    > CS abzulegen. Damit sollte dann auch der Vista-Client klar kommen und
    > wenn nicht, kann man die Aktion ja direkt wieder rückgängig machen. Agree?
      > Hmm keine Ahnung, welche Einstellung des IE vermißt du denn?
      > Hatte ich ja geschrieben, was ich derzeit nicht einstellen kann
        >Dann hier mal mein eigentliches Problem:
    Der IE8 bietet eine neue Funktion. Unter "Erweitert / Sicherheit" gibt
    es den  Punkt "Speicherschutz aktivieren, um das Risiko von Onlineangriffen
    zu verringern". Dieses (standardmäßig aktivierte) Sicherheitsfeature mag
    seine Berechtigung haben, führt aber oft dazu, dass ActiveX-Elemente sich
    nicht installieren lassen und der IE8 abstürzt. Aktuell tritt es bei uns in
    Verbindung mit WebEx auf. Für eine interne Aktion muss ich zumindest kurzfristig
    diesen Speicherschutz deaktivieren. Den Regkey habe ich gefunden und das funzt
    auch über die Preferences. Dann habe ich aber ein Tatooing. Eleganter wäre
    es, wenn ich die Konfiguration unter den Administrativen Vorlagen machen
    könnte. Da habe ich diesen Punkt aber nicht, da mir der Vista-Client keine "IE8-GPO-Verwaltungsmöglichkeit" bietet und die Option nun mal erst mit dem IE8 gekommen ist. Soweit ich weiß würde der Punkt sonst unter "Computer / Admin Templates / Windows Components / Internet Explorer / Security Features / Turn off Data Execution" stehen.
     
    > P.S. Das mit der NNTP-Bridge und meinem Newsreader (Omea Reader 2.2)
    > läuft wie ein Sack Flöhe. Ständig muss ich mich neu anmelden, damit das mit
    > dem > Posten klappt oder auch trotzdem nicht.
      > Hat Winfried dir schon was empfohlen. ;)
        >Yo, ich teste gerade die Community-Bridge. Vorher habe ich die Standard
    MS-Bridges verwendet. Für die   Answers-Foren muss ich das ja wohl auch weiterhin
    machen. Nervig finde ich z.B., dass ständig alle Artikel wieder als ungelesen
    angezeigt werden, nach einem Rechnerneustart.
     
    Grüße
    Udo
     
     
    Montag, 14. Juni 2010 10:14
  • "Udo Linnenschmidt" schrieb im Newsbeitrag news:3a94fa3a-bd2a-44dc-ab1f-9e8c4483b01d@communitybridge.codeplex.com...
    Hi,

    Warum ich damit Bauchschmerzen habe? Weil ich einfach ungern am Server
    rumfummel, wenn es sich vermeiden lässt

    Der Central Store is doch bloß ne doofe Dateiablage. Kannst du dir vorher sogar kopieren ;)
     > Der IE8 bietet eine neue Funktion. Unter "Erweitert / Sicherheit" gibt

    es den  Punkt "Speicherschutz aktivieren, um das Risiko von Onlineangriffen
    zu verringern". Dieses (standardmäßig aktivierte) Sicherheitsfeature mag
    seine Berechtigung haben, führt aber oft dazu, dass ActiveX-Elemente sich
    nicht installieren lassen und der IE8 abstürzt. Aktuell tritt es bei uns in
    Verbindung mit WebEx auf. Für eine interne Aktion muss ich zumindest
    kurzfristig
    diesen Speicherschutz deaktivieren. Den Regkey habe ich gefunden und das
    funzt
    auch über die Preferences. Dann habe ich aber ein Tatooing.

    OK. Und warum definierst du es nicht einfach per adm oder sonst wie? Wenn der Key bekannt ist, dann ist das doch wurscht oder seh ich grad was falsch?
     > Yo, ich teste gerade die Community-Bridge. Vorher habe ich die Standard

    MS-Bridges verwendet. Für die   Answers-Foren muss ich das ja wohl auch
    weiterhin machen.

    Nein, warum?

    Replaces the MS NNTP Bridge(s) completely Unifies the access to scocial and answers forms to a single NNTP server (no two servers needed!)

    Nervig finde ich z.B., dass ständig alle Artikel wieder als ungelesen
    angezeigt werden, nach einem Rechnerneustart.

    Das liegt aber eher nicht an der bridge, jedenfalls nicht bei mir.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Montag, 14. Juni 2010 10:22
    Moderator
  • Am 14.06.2010 schrieb Udo Linnenschmidt:

    P.S. Das mit der NNTP-Bridge und meinem Newsreader (Omea Reader 2.2)
    läuft wie ein Sack Flöhe. Ständig muss ich mich neu anmelden, damit das mit
    dem > Posten klappt oder auch trotzdem nicht.

      > Hat Winfried dir schon was empfohlen. ;)
        >Yo, ich teste gerade die Community-Bridge. Vorher habe ich die Standard
    MS-Bridges verwendet. Für die   Answers-Foren muss ich das ja wohl auch weiterhin
    machen. Nervig finde ich z.B., dass ständig alle Artikel wieder als ungelesen
    angezeigt werden, nach einem Rechnerneustart.

    Wenn es mit der Communitybridge auch nicht besser wird, kannst Du ja
    mal einen anderen Newsreader ausprobieren. ;)

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 14. Juni 2010 10:32
  • Hallo Norbert Fehlauer [MVP],
     
    > OK. Und warum definierst du es nicht einfach per adm oder sonst wie?
    > Wenn der Key bekannt ist, dann ist das doch wurscht oder seh ich grad
    > was falsch?
      >> Weil die Zeiten mit dem "ADM-Gefuddel" doch eigentlich vorbei sind.
    Bin ja auch kein Programmierer. ;-) Dann verteile ich den Key lieber über
    die Preferences und nehme dafür ein Tatooing in Kauf. Aber da in den Win7-ADMX-Dateien
    ja alle neuen IE8-Features konfigurierbar sind (wer weiß was ich als nächstes
    benötige) ist es doch am sinnvollsten die "IE8-admx" einzubinden in das jetzige
    Umfeld.
     
    Gruß
    Udo
     
     
    Montag, 14. Juni 2010 10:42
  • "Udo Linnenschmidt" schrieb
    Hi,

    Weil die Zeiten mit dem "ADM-Gefuddel" doch eigentlich vorbei sind.

    Nein, definitiv nicht. Ich persönlich empfinde die Registry-GPP eigentlich immer nur als "Not/Schnell-Lösung" und bau mir dann lieber ein passendes ADM/ADMX.

    Bin ja auch kein Programmierer. ;-)

    Muß man für adm auch nicht sein. Bei ADMX wirds schon unübersichtlicher.
     > Dann verteile ich den Key lieber über

    die Preferences und nehme dafür ein Tatooing in Kauf.

    Soweit ich weiß, kann man das ja auch konfigurieren, aber naja.

    Aber da in den  Win7-ADMX-Dateien
    ja alle neuen IE8-Features konfigurierbar sind (wer weiß was ich als
    nächstes benötige) ist es doch am sinnvollsten die "IE8-admx" einzubinden in das
    jetzige Umfeld.

    Dann tu das doch einfach. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Montag, 14. Juni 2010 10:45
    Moderator