none
Gruppenrichtlinie SBS 2011 "Die aktuellen Sicherheitseinstellungen erlauben keinen Download..." RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    Haben einen SBS 2011 Standard eingerichtet, samt schon einige GPO´s was so weit funktioniert hat. Habe mir virtuell eine Testmaschine Win 7 Prof x64 angelegt um zu testen.

    Nun schreibt er mir am Clientrechner, folgende zwei Fehler:

    Fehlermeldung (exe installationsfile)
    Die Datei können nicht geöffnet werden
    Durch die Internetsicherheitseinstellungen wurde verhindert, dass eine oder mehrere Dateien geöffnet wurden.

    Fehlermeldung beim Download:
    Sicherheitshinweis:
    Die akutellen Sicherheitseinstellungen erlauben keinen Download dieser Datei.
    (Im hintergrund öffnet sich das standard Windows Download Fenster).

    Wenn ich dies nun im Internet suche finde ich die manuelle Lösung am Client:
    in den IE Sicherheitseinstellungen ist standardmäßig, Anwendungen und unsichere Dateien deaktiviert.
    Das einfach auf bestätigen (empfohlen) und schon läuft alles wieder

    TJA, nur möchte ich das nicht immer bei jedem Client manuell tun, weshalb ich schon den Gruppenrichtlinieneditor angeworfen habe, schon einiges versucht habe, aber irgendwie will es mir einfach nicht gelingen!

    GPO am Benutzer verknüpft auf SBS-Benutzer -> Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Sicherheitsseite -> Liste der Zonenzuweisungen:

    \\test.local    1
    test.local     1
    \\testserver01    1

    weiters: -> Intranetzone -> Programme und unsichere Dateien starten -> Aktiviert

    Kann mir jemand helfen, da dies bei zukünftien Rechnern eigentlich sehr nervig sein würde, wenn ich das manuell machen müsste?

    DANKE

     

    Montag, 26. Dezember 2011 21:45
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    hallo,

    ja das mit den lokalen rechten habe ich gleich in einen der ersten GPOs erledigt gehabt

    habe nun mittels update rolle alle clients auf den IE9 updaten lassen

    ging dann noch immer nicht:

     

    hier die lösung:

    http://www.borncity.com/blog/2011/02/18/windows-sicherheit-blockt-dateien-teil-2/

    habe jetzt für user und AUCH CLIENTS ein egpo erstellt und alle Ordner
    Internetzone,Intranetzone, Zone des lokalen Computers,Zone eingeschränkte Sites,Zone vertrauenswürdige Sites

    die richtlinie “Programme und unsichere Dateien starten” aktiviert -> NUN GEHT ES jipieee

    • Als Antwort markiert BAERni Freitag, 30. Dezember 2011 21:17
    Freitag, 30. Dezember 2011 21:16
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 26.12.2011 22:45, schrieb BAERni:

    Liste der Zonenzuweisungen

    *.test.local = 1
    oder
    *://*.test.local

    beides möglich

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 26. Dezember 2011 22:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke für die schnelle Antwort und habe es soeben probiert:

    GPO am Benutzer verknüpft auf SBS-Benutzer -> Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Sicherheitsseite -> Liste der Zonenzuweisungen:

    \\test.local 1
    test.local 1
    \\testserver01 1
    *.test.local = 1
    *://*.test.local

    danach natürlich auch -> Intranetzone -> Programme und unsichere Dateien starten -> Aktiviert

    mit gporesult /r auf dem testuser bekommen ich dass meine richtlinie GPOu_7Vista_Sicherheitswarnungen:bei_Dateien angewendet wurde!

    ??? da kann man sich wirklich ärgern :-(

     

     

     

     

    Dienstag, 27. Dezember 2011 11:15
    |
  • Question
    Anmelden
    0
    Anmelden

    >mit gporesult /r auf dem testuser bekommen ich dass meine richtlinie GPOu_7Vista_Sicherheitswarnungen:bei_Dateien angewendet wurde!

    >??? da kann man sich wirklich ärgern :-(

    Deine Richtlinie wurde also angeblich angewendet?
    Und es funktioniert trotzdem nicht?

    Hast du per rsop.msc geprüft ob das site-to-zone mapping angewendet wurde?

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Dienstag, 27. Dezember 2011 11:33
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    ah ja, also mittels rsop.msc, findet man unter BeKonf-AdminVorlagen-WinKomp-IE-Isystemsteuerung-Sicherheitsseite in der Liste "Liste der Site zu Zonenzuweisungen", dann auch Aktiviert mit *.test.local, *://*.test.local, \\testserver01, test.local, \\test.local mit dem Wert 1

    Schaut also gut aus, außerdem gibt es auch in der Intranetzone "Programme und  unsichere Dateien starten" ein Aktiviert.

    Wenn ich nun versuche z.B. das SP1 zu installieren oden eine exe downzuloaden, kommt immer eine Fehlermeldung. Beispielfoto habe ich nun angehängt!

    Kann es vielleicht sein, dass ich das Ganze an komplett falscher Stelle versuche einzustellen?

    Dienstag, 27. Dezember 2011 11:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 27.12.2011 12:15, schrieb BAERni:

    \\test.local 1
    test.local 1
    \\testserver01 <file://testserver01/> 1
    *.test.local = 1
    ://.test.local

    Nein. Meine Antwort war ein entweder/oder. Mit den 5 Definitionen hast
    du nur Müll integriert. Es gibt nur eine Definition für die Zone.

    Diese siehst du auch, wenn sie hinterher in der UI als Intranet
    (ausgegraut sichtbar) zu sehen ist.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 27. Dezember 2011 14:12
    |
  • Question
    Anmelden
    0
    Anmelden

    @ Mark: Vielen Dank für die schnelle Antwort.

    OK, habe diese Richtlinie nun rein auf *.test.local mit Wert 1 geändert und am Client gpupdate /force ausgeführt. Leider wieder ohne Erfolg.

    Bin ich da auch wirklich an der richtigen Stelle mit den Gruppenrichtlinien?

    Hatte bis jetzt total Spaß den neuen SBS 2011 Standard einzurichten und auf der vituellen Clientmaschine zu testen, aber das es jetzt an so etwas scheitert, grins und grml.

     

     

    Dienstag, 27. Dezember 2011 18:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 27.12.2011 schrieb BAERni:

    OK, habe diese Richtlinie nun rein auf *.test.local mit Wert 1 geändert und am Client gpupdate /force ausgeführt. Leider wieder ohne Erfolg.

    Was heißt ohne Erfolg? Werden keine Änderungen gezogen?

    Bin ich da auch wirklich an der richtigen Stelle mit den Gruppenrichtlinien?

    Hast Du die GPO auch auf Benutzerkonten wirken lassen?

    Hatte bis jetzt total Spaß den neuen SBS 2011 Standard einzurichten und auf der vituellen Clientmaschine zu testen, aber das es jetzt an so etwas scheitert, grins und grml.

    Das hat wohl nichts mit dem SBS zu tun, da fehlt vermutlich noch
    Grundlagenwissen.
    http://www.gruppenrichtlinien.de/HowTo/Erste_Schritte_zum_erstellen_einer_Gruppenrichtlinie.htm

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 27. Dezember 2011 20:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Hast du nochmals per rsop.msc geprüft, welche Settings nun gezogen werden?

    Werden die Ausnahmen im IE eingetragen?

    >Nun schreibt er mir am Clientrechner

    Wir reden also von nur einem Client? Oder tritt es an mehreren Clients auf?

    Hattest du unabhängig von der GPO geprüft, ob das Problem gelöst ist, wenn du manuell die
    Sites in der Intranetzone einträgst?

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Dienstag, 27. Dezember 2011 20:13
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    > Wenn ich nun versuche z.B. das SP1 zu installieren oden eine exe
    > downzuloaden, kommt immer eine Fehlermeldung. Beispielfoto habe ich nun
    > angehängt!
     
    Hat die Datei einen Zone Identifier? Wenn ja: Löschen...
    (Sysinternals "streams.exe")
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 27. Dezember 2011 20:32
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    @ winfried:

    ad 1) doch es rennen ja bereits, ca. 25 GPOs, nur diese mit den internetsicherheitseinstellungen zieht zwar laut rsop.msc, aber irgendwie schreit er immer am client, wenn ich eine exe ausführen will oder eine exe downloaden möchte

    ad 2) ja, sie sind eingestellt (verknüpft) auf die benutzer "SBS-Benutzer"

    ad 3) nun ja, ich bin zwar kein wunderwuzzi in der gpo einrichtung, aber eingerichtet habe ich doch schon einige, welche ja auch funktionieren:
    z.B. Auf das Netzwerk warten, Anmeldebildschirm, Benutzerkontensteuerung, WindowsExplorer anzeige, Hosts-Datei, OEMInfo, Taskleiste und Startmenü, Drucker, Laufwerk

     

     

     

    Mittwoch, 28. Dezember 2011 10:15
    |
  • Question
    Anmelden
    0
    Anmelden

    @Matthias

    ad1) ja, sind laut rsop.msc gezogen, siehe bild oben

    ad2) schaut man aber im ie am client, trägt er anscheinend nichts ein und es ist grau hinterlegt, bild hänge ich mal dran

    ad3) habe eine viturelle win 7 x64 prof im einsatz und inzwischen auch einen physikalischen win7 x64 prof client testhalber an das netzwerk gehängt, beide maschinen sind komplett jungfräulich -> alle bisher von mir eingetsllten GPO´s haben gefunkt z.B anmeldebildschirm usw. -> nur diese sicherheitseinstellung leider nicht

    ad 4) ja, habe es soeben ausprobiert, setze ich manuell, dass hakerl im IE bei Verschiedenes - Anwendungen und unsichere Dateien starten - Bestätigen
    funktioniert es sofort

    Mittwoch, 28. Dezember 2011 10:37
    |
  • Question
    Anmelden
    0
    Anmelden

    @ martin: nein hat keinen identifier, habe es mit mehren exe´s probiert immer das selbe, selbst wenn ich z.B. den vlc downloaden wolen würde:

    Mittwoch, 28. Dezember 2011 10:39
    |
  • Question
    Anmelden
    0
    Anmelden

    >ad2) schaut man aber im ie am client, trägt er anscheinend nichts ein und es ist grau hinterlegt, bild hänge ich mal dran

    Das war allerdings der Screenshot der "'Vertrauenswürdige Sites", nicht der Intranetzone.

    Prüfe doch bitte einmal ob dieser Key existiert (der erst einmal nicht mit der Policy zu tun hat):

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\test.local

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Mittwoch, 28. Dezember 2011 11:09
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    stimmt, anbei die "Lokales Intranet"

     

    KEY: aha, jetzt sehe ich da nicht test.local sondern test.at

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\test.at

    hmm, woher holt er sich den dies, den in der zonen zuweisung steht eindeutig *.test.local

     

     

    Mittwoch, 28. Dezember 2011 11:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Setze bitte einmal deinen IE zurück (nimm die manuelle Methode):

    http://windows.microsoft.com/de-DE/windows-vista/Reset-Internet-Explorer-8-settings

    Lösche den test.at Key und hol dir die Policy erneut (gpupdate /force).

    Danach bitte wieder den Key prüfen (und im IE).

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Mittwoch, 28. Dezember 2011 13:14
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    OK, habe ich zurück gesetzt, dann auch den Key test.at gelöscht, desweiteren den Client neu gestartet und gpupdate /force ausgeführt!

    Download und exe geht weiterhin nicht, schaut man jetzt in den RegEdit

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains ist diese jetzt mal leer!

    LG

    Mittwoch, 28. Dezember 2011 15:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Ok, das zeigt zumindest dass diese Einstellungen (test.at) nicht per Script oder ähnliches durch eine Policy kommen.

    Prüfe jetzt bitte noch einmal den eigentlichen Key, der durch die Policy gesetzt werden sollte:

    HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\test.local

    MVP - Group Policy http://matthiaswolf.blogspot.com/



    Mittwoch, 28. Dezember 2011 17:08
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    ja, da steht richtigerweise test.local

    muss ich diese einstellung: "in den IE Sicherheitseinstellungen ist standardmäßig, Anwendungen und unsichere Dateien deaktiviert. Das einfach auf bestätigen (empfohlen) und schon läuft alles wieder"

    vielleicht wo anders derfinieren, als wo wir es definiert haben?

    • Bearbeitet BAERni Mittwoch, 28. Dezember 2011 19:08
    Mittwoch, 28. Dezember 2011 19:05
    |
  • Question
    Anmelden
    0
    Anmelden

    soderla, neuer status

    auf beiden testclients angemeldet mit dem User test1, kein downlaod einer exe funkt oder auch die installation von z.B. adobe reader von einer usb platte
    spiele ich das file auf den desktop und strate es von dort, kann ich zumindest installieren

    melde ich ich mich als domainadmin an, kann ich alles machen, exe downloaden und von der externe usb platte installieren

    somit ein berechtigungsproblem, aber wo kann ich das am leichtesten per gpo abschalten?

     

     

     

     

    Freitag, 30. Dezember 2011 01:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Hat der User "test1" lokale Adminrechte?

    Wenn nein, kann auch die Installation icht funktionieren.

    >melde ich ich mich als domainadmin an, kann ich alles machen, exe downloaden und von der externe usb platte >installieren

    Was hast dass den nun mit einer USB Platte zu tun?
    Das was du definiert hast (*.test.local) = 1 gilt nur für Files die auch auf Servern innerhalb deines Netzwerkes zugreifst.

    Beispiel, \\server1.test.local\share\myinstallation.exe

    Hat aber natürlich auf die USB Platte keinerlei Einfluss.

    An deinen IE Settings scheint einiges verbogen zu sein.

    Welche Version des IE ist installiert?
    Gibt es noch andere Policies, die Einstellungen des IE steuern?

     

     

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Freitag, 30. Dezember 2011 10:41
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    hallo,

    ja das mit den lokalen rechten habe ich gleich in einen der ersten GPOs erledigt gehabt

    habe nun mittels update rolle alle clients auf den IE9 updaten lassen

    ging dann noch immer nicht:

     

    hier die lösung:

    http://www.borncity.com/blog/2011/02/18/windows-sicherheit-blockt-dateien-teil-2/

    habe jetzt für user und AUCH CLIENTS ein egpo erstellt und alle Ordner
    Internetzone,Intranetzone, Zone des lokalen Computers,Zone eingeschränkte Sites,Zone vertrauenswürdige Sites

    die richtlinie “Programme und unsichere Dateien starten” aktiviert -> NUN GEHT ES jipieee

    • Als Antwort markiert BAERni Freitag, 30. Dezember 2011 21:17
    Freitag, 30. Dezember 2011 21:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Schön dass es nun funktioniert.

    >habe jetzt für user und AUCH CLIENTS ein egpo erstellt und alle Ordner
    >Internetzone,Intranetzone, Zone des lokalen Computers,Zone eingeschränkte Sites,Zone vertrauenswürdige Sites

    Für die Internetzone und Zone eingeschränkte Sites würde ich die Option nicht aktivieren.

     

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Freitag, 30. Dezember 2011 23:34
    |
    Beantworter