none
Gruppenrichtlinien W2k8 R2: Reihenfolge von Richtlinie und Einstellungen innerhalb eines GPO, Beispiel IE9 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Meine Kenntnisse und das Problem was es zu lösen gilt ist:

    Der IE 9 und der IE10 sind keine ursprünglich vom Windows Server 2008 R2 unterstützten Browser.

    Deshalb können nur Einstellungen innerhalb der Gruppenrichtlinie für IE9 und IE10 genutzt werden,
    die gleich benannt und in IE8 bereits enthalten waren. Die Einstellungen innerhalb einer Richtlinie sind für jede GPO mit einer Versionserweiterungskennung zu versehen, was ich gemacht habe und was entsprechend funktioniert.

    Innerhalb eines Gruppenrichtlinienobjektes  lassen sich Computer- und Benutzerrichtlinien und Computer- und Benutzereinstellungen setzen.

    In unserem Fall müssen wir beide Typen mischen, um zum gewünschten Einstellungsergebnis zu kommen.

    Dabei geht aus der Richtlinienmodellierung allerdings nicht die Reihenfolge der Abarbeitung hervor und auch nicht, ob Einstellungen und Richtlinien sich gegenseitig überschreiben können.

    Bevor ich hier weiter teste, meine Frage, wie ich folgende Einstellungen für den IE9 über einen W2k8 R2 Server an den Clients durchsetze, ohne dass sich Einstellungen und Richtlinien gegenseitig überschreiben:

    Für alle Computer (eingestellt über Computerkonfiguration - Richtlinie)

    * Menüleiste standardmäßig aktivieren

    * Popupblocker verwenden

    * Geschützten Modus deaktivieren

    Für alle Benutzer (eingestellt über Benutzerkonfiguration - Einstellungen)

    * Sicherheitsstufe - Internet: Mittel

    Können nachgeordnet abgearbeitete GPOs mit deren Standardvorgaben die Einstellungen wieder zurücksetzen?

    mfg

    JF

    Donnerstag, 21. Februar 2013 11:24
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Am 21.02.2013 13:26, schrieb Jenny Frank:
    > Überschreiben die Settings aus der GPO (z.B. für den IE) komplett die
    > lokalen Settings für den IE. Meiner Beobachtung nach müsste dies
    > zutreffend sein.
     
    Ja, das ist so. Einfaches Beispiel: Desktop-Hintergrundbild.
     
    Setze das "manuell", dann landet es in HKCU\Control
    Panel\Desktop\Wallpaper. Setzt Du es per "Einstellung", wird der gleiche
    Wert verwendet.
     
    Setzt Du es dagegen per Richtlinie, wird zusätzlich der Wert
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Wallpaper
    geschrieben. Das hat 2 Folgen:
     
    1. Der Wert aus ...\Policies\... wird verwendet, wenn er vorhanden ist.
    Wenn nicht, dann der aus ...\Desktop\...
    2. Ist der Wert aus ...\Policies\... vorhanden, ist das zugehörige
    UI-Element (also die Möglichkeit, ein Hintergrundbild auszuwählen)
    deaktiviert.
     
    Diese 2 Punkte machen den Unterschied zwischen Richtlinien und
    Einstellungen aus. Richtlinien müssen nicht vorhanden sein, aber WENN
    sie vorhanden sind, haben sie Vorrang und der User kann das nicht mehr
    ändern.
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert Jenny Frank Freitag, 22. Februar 2013 18:15
    Donnerstag, 21. Februar 2013 14:19
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Überschreiben die Settings aus der GPO (z.B. für den IE) komplett die lokalen Settings für den IE. Meiner Beobachtung nach müsste dies zutreffend sein.

    Preferences überschreiben die vorhandenen Einstellung.
    Dieser Effekt nennt sicht "tattooing". Mehr dazu hier:

    http://blogs.technet.com/b/grouppolicy/archive/2008/03/04/gp-policy-vs-preference-vs-gp-preferences.aspx

    Policy VOR Setting

    Könnte man grob so sagen.

    Settings sind nichts anderes als Einstellungen die der Benutzer manuell einstellen kann,
    allerdings werden diese durch die jeweilige CSE automatisiert.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert Jenny Frank Freitag, 22. Februar 2013 18:18
    Donnerstag, 21. Februar 2013 15:49
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 21.02.2013 13:26, schrieb Jenny Frank:

    * Policy HKLM VOR Policy HKCU

    Nein. Das ist keine Regel. Das ist nur ein Verhalten das man sehr häufig beobachten kann, aber nicht eindeutig IMMER so ist. Denn die Präferenz ob HKLM gewinnt oder hKCU ist nicht von der GPO abhängig, sondern vom Entwickler, der den einen Wert VOR DEM ANDEREN liest und das hat er selber für sich und seine Anwendung entschieden.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Jenny Frank Freitag, 22. Februar 2013 18:16
    Donnerstag, 21. Februar 2013 19:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Nein. Das ist keine Regel.

    Ja, das ist keine Regel.
    Aber wir reden hier ja primär von Internet Explorer Einstellungen.
    In diesem Falle ist es so.
    Natürlich gibt es auch dort Ausnahmen.

    Zumindest ist es relativ sinnfrei unterschiedliche Einstellungen in den Computereinstellungen und Benutzereinstellungen zu definieren und
    sich dann zu wundern warum sich die Anwendungen seltsam verhalten :-)

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 22. Februar 2013 06:37
    |
    Beantworter

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Am 21.02.2013 12:24, schrieb Jenny Frank:
    > Dabei geht aus der Richtlinienmodellierung allerdings nicht die
    > Reihenfolge der Abarbeitung hervor
     
     
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 21. Februar 2013 11:28
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Mal abgesehen von der Reihenfolgen können sich andere Probleme ergeben.
    Einstellungen die du unter "Computerkonfiguration - Richtlinie" tätigst werden schon einmal innerhalb von HKLM
    in der Registry gespeichert.

    Die Einstellungen werden in der Regel unter HKEY_LOCAL_MACHINE\Software\Policies gesetzt.
    Somit haben diese schon einmal Vorrang vor HKEY_CURRENT_USER\Software\Policies.

    Was noch dazukommt, Einstellungen die du mittels "Benutzerkonfiguration - Einstellungen" setzt, landen nicht im "Policies" Schlüssel.
    Viele dieser Einstellungen landen in "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings".
    Gibt es eine gleiche Einstellung innerhalb von HKEY_CURRENT_USER\Software\Policies, so hat diese wieder Vorrang.
    Es ist also nicht ganz so einfach.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Donnerstag, 21. Februar 2013 11:50
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Danke Martin für die Informationen:

    Wenn ich das interpretieren soll, dann ruft der Client in einer festgelegten Reihenfolge (Artikel 2) aus den lokalen und GP-Objekten vom Server entsprechend der GUID die Vorgabewerte ab und registriert diese. Das betrifft aber doch nur die "Einstellungen" und nicht die Richtlinien. Oder?

    Die sich ergebende Reihenfolge wäre dann:

    1. Lokale Einstellungen, Mischung aus lokalen Einstellungen und Einstellungen in den GPP nach GUID und festgelegter Reihenfolge (Artikel 2)

    2. Abarbeitung der Gruppen-Richtlinien für Computer und Benutzer vom Server her.

    Ist das so korrekt?

    mfg

    jf

    Donnerstag, 21. Februar 2013 12:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke Matthias für diese klärende Antwort:

    Prinzipiell gilt, wenn ich Dich recht verstehe:

    * Policy VOR Setting

    * Policies und Settings können sich für eine Anwendung gleich auswirken, dabei Vorrang für Policy

    * Policy HKLM VOR Policy HKCU

    Wie verhält es sich aber bei den Settings:

    Überschreiben die Settings aus der GPO (z.B. für den IE) komplett die lokalen Settings für den IE. Meiner Beobachtung nach müsste dies zutreffend sein.

    Ändere ich in zwei GPOs die Einstellungen des IE für einen Benutzer, dann dürften nur die Einstellungen der zuletzt angewendeten GPO zum Tragen kommen. Ok?

    Überschreiben sich die Settings hier komplett oder nur dort wo Änderungen vorgenommen wurden?

    Danke!

    mfg

    JF

    Donnerstag, 21. Februar 2013 12:26
    |
  • Question
    Anmelden
    0
    Anmelden
    Am 21.02.2013 13:26, schrieb Jenny Frank:
    > Überschreiben die Settings aus der GPO (z.B. für den IE) komplett die
    > lokalen Settings für den IE. Meiner Beobachtung nach müsste dies
    > zutreffend sein.
     
    Ja, das ist so. Einfaches Beispiel: Desktop-Hintergrundbild.
     
    Setze das "manuell", dann landet es in HKCU\Control
    Panel\Desktop\Wallpaper. Setzt Du es per "Einstellung", wird der gleiche
    Wert verwendet.
     
    Setzt Du es dagegen per Richtlinie, wird zusätzlich der Wert
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Wallpaper
    geschrieben. Das hat 2 Folgen:
     
    1. Der Wert aus ...\Policies\... wird verwendet, wenn er vorhanden ist.
    Wenn nicht, dann der aus ...\Desktop\...
    2. Ist der Wert aus ...\Policies\... vorhanden, ist das zugehörige
    UI-Element (also die Möglichkeit, ein Hintergrundbild auszuwählen)
    deaktiviert.
     
    Diese 2 Punkte machen den Unterschied zwischen Richtlinien und
    Einstellungen aus. Richtlinien müssen nicht vorhanden sein, aber WENN
    sie vorhanden sind, haben sie Vorrang und der User kann das nicht mehr
    ändern.
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert Jenny Frank Freitag, 22. Februar 2013 18:15
    Donnerstag, 21. Februar 2013 14:19
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
     
    > 1. Lokale Einstellungen, Mischung aus lokalen Einstellungen und
    > Einstellungen in den GPP nach GUID und festgelegter Reihenfolge
    > (Artikel 2)
    >
    > 2. Abarbeitung der Gruppen-Richtlinien für Computer und Benutzer vom
    > Server her.
    >
     
    Nicht ganz...
     
    Zuerst wird die Liste/Reihenfolge der anzuwendenden GPOs erstellt
    (Vererbungsreihenfolge, Security Filter etc.). Jede CSE (aus den beiden
    Artikeln weißt Du jetzt ja, was das ist ;-)) verarbeitet nur die
    Settings, die für sie vorhanden sind.
     
    Als erstes werden alle Settings aus Administrative Vorlagen geschrieben.
    Irgendwann später alle Settings aus GPP Registry und so weiter - in der
    Reihenfolge, wie sie in den Tabellen stehen. Damit kann man dann auch
    lustige Sachen machen:
     
     
    (Wie im anderen Post geschrieben: Policies sind auch nur Reg-Werte, und
    WIE die geschrieben werden, ist letztlich egal. Meistens per
    Administrative Vorlagen, geht aber auch per MSI-Install, GPP Registry
    oder Startskript...)
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 21. Februar 2013 14:22
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Überschreiben die Settings aus der GPO (z.B. für den IE) komplett die lokalen Settings für den IE. Meiner Beobachtung nach müsste dies zutreffend sein.

    Preferences überschreiben die vorhandenen Einstellung.
    Dieser Effekt nennt sicht "tattooing". Mehr dazu hier:

    http://blogs.technet.com/b/grouppolicy/archive/2008/03/04/gp-policy-vs-preference-vs-gp-preferences.aspx

    Policy VOR Setting

    Könnte man grob so sagen.

    Settings sind nichts anderes als Einstellungen die der Benutzer manuell einstellen kann,
    allerdings werden diese durch die jeweilige CSE automatisiert.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert Jenny Frank Freitag, 22. Februar 2013 18:18
    Donnerstag, 21. Februar 2013 15:49
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 21.02.2013 13:26, schrieb Jenny Frank:

    * Policy HKLM VOR Policy HKCU

    Nein. Das ist keine Regel. Das ist nur ein Verhalten das man sehr häufig beobachten kann, aber nicht eindeutig IMMER so ist. Denn die Präferenz ob HKLM gewinnt oder hKCU ist nicht von der GPO abhängig, sondern vom Entwickler, der den einen Wert VOR DEM ANDEREN liest und das hat er selber für sich und seine Anwendung entschieden.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Jenny Frank Freitag, 22. Februar 2013 18:16
    Donnerstag, 21. Februar 2013 19:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Nein. Das ist keine Regel.

    Ja, das ist keine Regel.
    Aber wir reden hier ja primär von Internet Explorer Einstellungen.
    In diesem Falle ist es so.
    Natürlich gibt es auch dort Ausnahmen.

    Zumindest ist es relativ sinnfrei unterschiedliche Einstellungen in den Computereinstellungen und Benutzereinstellungen zu definieren und
    sich dann zu wundern warum sich die Anwendungen seltsam verhalten :-)

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 22. Februar 2013 06:37
    |
    Beantworter