none
Internet Explorer 10 Proxy-Settings werden nicht angewendet RRS feed

  • Frage

  • Wir nutzen eine Windows Server 2008 R2 Serverumgebung sowie Windows 7 Enterprise Clients.

    Mit Installation Ende März wurde zum Auslieferungszeitpunkt der IE10 durch ein Update mit installiert.

    Dies schien uns in Zusammenhang mit den Gruppenrichtlinieneinstellungen für den IE9, wo einige Dinge nicht funktionierten (unter anderem Proxeinstellungen), jedenfalls an den Zielclients nicht übernommen wurden, eine günstige Gelegenheit, die administrativen Vorlagen für den Server und die Clients zu aktualisieren und dann unser Glück erneut zu probieren.

    Daher haben wir die .admx für W8 und W2k12 vom 13.03.2013 heruntergeladen und installiert.

    In den neuen Vorlagen für die Richtlinien ist nun der IE10 enthalten. Bei den Einstellungen wird aber immer noch nur der IE8 angezeigt. 

    Somit wissen wir also nicht, ob die Settings nun auch beim IE10 greifen.

    Müssen wir hier die Versionsangabe noch manuell ändern?

    Wie gesagt, wir haben nur die Proxy-settings zunächst versucht vorzugeben (Benutzerkonfiguration-Einstellungen-Systemsteuerungseinstellungen-Interneteinstellungen-Internet Explorer 8 !!!!????!!!-Verbindungen-Proxyserver).

    In der Gruppenrichtlinienmodellierung wird alles richtig angezeigt.

    GPResult /R liefert uns den Hinweis an der Station, dass die Gruppenrichtlinie angewendet wird.

    Das RESOP-Ergebnis hingegen enthält, weil logisch, keine Einstellungen. In der Registry sind jedoch die Proxyeinstellungen ebenfalls nicht eingetragen (HCU-SW-MS-Windows-CV-Internet settings).

    Ebenso haben wir eine GPO um Laufwerke auszublenden. Hier verhält es sich so: In gpresult /R und in der Gruppenrichtlinienmodellierung sind die Einstellungen enthalten, nur angewendet wird die Richtlinie nicht (RSOP: Windows-Komponenten/Datei-Explorer: keine Vorgaben)

    Was läuft hier falsch? Wir haben die GPOs auch neu erstellt, um sicherzustellen, dass die neuen Templates auch tatsächlich angewendet werden.

    Dienstag, 23. April 2013 17:36

Antworten

  • Hallo Jenny,

    du mischt da leider ein paar verschiedene Sachen.
    Zunächst einmal zum Problem mit den Interneteinstellungen:

    Benutzerkonfiguration-Einstellungen-Systemsteuerungseinstellungen-Interneteinstellungen

    Das hat schon einmal nichts mit ADMX Vorlagen zu tun.
    Hier besteht meistens ein anderes Problem.

    Entweder: Du benutzt eine GPMC von Windows 8 oder Server 2012 und konfigurierst die Einstellungen dort (was Sinn macht)
    Oder: Du musst in der XML Datei der Policy die Versionsnummer ändern. Den genauen Vorgang findest du in meinem Blog.
    http://matthiaswolf.blogspot.de/2012/08/gpp-und-der-internet-explorer-9-das.html

    In diesem Falle würde ich entweder die Version auf max="11.0.0.0" ändern oder wie es die GPMC von 2012 und Windows 8 macht, auf max="99.0.0.0" ändern.

    Ebenso haben wir eine GPO um Laufwerke auszublenden. Hier verhält es sich so: In gpresult /R und in der Gruppenrichtlinienmodellierung sind die Einstellungen enthalten, nur angewendet wird die Richtlinie nicht (RSOP: Windows-Komponenten/Datei-Explorer: keine Vorgaben)

    Wir reden hier auch von Einstellungen - Windows Einstellungen - Laufwerkszuordnungen?
    Dann wäre es kein Wunder. rsop.msc kennt keine Group Policy Preferences (also Alles was unter Benutzerkonfiguration - Einstellungen und Computerkonfiguration - Einstellungen steht).


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert Jenny Frank Donnerstag, 25. April 2013 16:22
    Dienstag, 23. April 2013 19:33
    Beantworter
  • Am 11.06.2013 12:37, schrieb Ma Fi:

    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    Das Feld Adresse und Port ist nun grau und ohne Inhalt.
    Vorher stand da -> Adresse: proxy.domaene.de, Port: 3128

    Ja. Fehler. Bug ist schon reported.


    Hallo Mark,

    danke für die Info.

    Und was heißt das jetzt für uns Anwender.
    Gibt es von MS überarbeitete GPO-Templates?
    Wenn ja, bis wann kann man damit rechnen?

    Ich habe übrigens eine Lösung gefunden.
    Jetzt sehe ich die Proxy-Adresse und es wird auch alles im IE10 am Client korrekt gezogen.
    Ich muss morgen noch mal checken, wie ich da genau vorgegangen bin.


    Gruß
    Matthias

    • Als Antwort markiert Jenny Frank Dienstag, 11. Juni 2013 17:36
    Dienstag, 11. Juni 2013 17:22
  • Am 13.06.2013 13:42, schrieb Ma Fi:

    Wie geht Dein Workaround?

    Wie deiner, oder:

    HTTP: <leeren> : <leeren>
    Secure: <leeren> : <leeren>
    FTP: <leeren> : <leeren>
    Socks: <leeren> : <leeren>

    Alle Felder füllen. Dann ist die GUI im Fenster davor immer noch kaputt, aber die Werte werden am Client übernommen

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Jenny Frank Donnerstag, 13. Juni 2013 20:56
    Donnerstag, 13. Juni 2013 18:41

Alle Antworten

  • Hallo Jenny,

    du mischt da leider ein paar verschiedene Sachen.
    Zunächst einmal zum Problem mit den Interneteinstellungen:

    Benutzerkonfiguration-Einstellungen-Systemsteuerungseinstellungen-Interneteinstellungen

    Das hat schon einmal nichts mit ADMX Vorlagen zu tun.
    Hier besteht meistens ein anderes Problem.

    Entweder: Du benutzt eine GPMC von Windows 8 oder Server 2012 und konfigurierst die Einstellungen dort (was Sinn macht)
    Oder: Du musst in der XML Datei der Policy die Versionsnummer ändern. Den genauen Vorgang findest du in meinem Blog.
    http://matthiaswolf.blogspot.de/2012/08/gpp-und-der-internet-explorer-9-das.html

    In diesem Falle würde ich entweder die Version auf max="11.0.0.0" ändern oder wie es die GPMC von 2012 und Windows 8 macht, auf max="99.0.0.0" ändern.

    Ebenso haben wir eine GPO um Laufwerke auszublenden. Hier verhält es sich so: In gpresult /R und in der Gruppenrichtlinienmodellierung sind die Einstellungen enthalten, nur angewendet wird die Richtlinie nicht (RSOP: Windows-Komponenten/Datei-Explorer: keine Vorgaben)

    Wir reden hier auch von Einstellungen - Windows Einstellungen - Laufwerkszuordnungen?
    Dann wäre es kein Wunder. rsop.msc kennt keine Group Policy Preferences (also Alles was unter Benutzerkonfiguration - Einstellungen und Computerkonfiguration - Einstellungen steht).


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert Jenny Frank Donnerstag, 25. April 2013 16:22
    Dienstag, 23. April 2013 19:33
    Beantworter
  • Abschließend noch als Hinweis, solltest du auch "Internet Explorer Wartung" verwenden,
    dies funktioniert nicht mehr sobald der IE 10 installiert ist.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 23. April 2013 19:34
    Beantworter
  • Am 23.04.2013 19:36, schrieb Jenny Frank:
    > Müssen wir hier die Versionsangabe noch manuell ändern?
     
    Ja, Ihr müßt das XML bearbeiten und den versteckten File-Filter auf die
    iexplore.exe-Version ändern. War eine der eher ungeschickten
    Entscheidungen seitens MS, das komplett an IE-Versionen zu koppeln...
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 23. April 2013 19:36
    Beantworter
  • Der Vollständigkeit halber ;-)

    Zum Thema IEM und IE 10.

    http://matthiaswolf.blogspot.de/2013/04/internet-explorer-10-goodbye-my-friend.html

    Das Thema wurde zwar von Darren, Alan und Jeremy schon einmal aufgegriffen,
    allerdings sollte es auch einen Beitrag für die deutsche Community geben.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 23. April 2013 20:38
    Beantworter
  •  
     
    Du ahnst gar nicht, wie oft ich das schon gesagt und geschrieben habe...
    (nicht alles öffentlich, natürlich ;))
    Schade nur, daß sie die Zonen und Cookies nicht hinbekommen haben in den
    GPPs. Aber egal, wir wissen ja wie's trotzdem geht.
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 23. April 2013 21:18
    Beantworter
  • Du ahnst gar nicht, wie oft ich das schon gesagt und geschrieben habe...

    /signed

    Schade nur, daß sie die Zonen und Cookies nicht hinbekommen haben in den

    Vor allem die Zonen. Technisch sollte das ja ein Klacks sein.

    Leider fehlt da noch einiges.
    Dann wäre es auch leichter für alle die GPP als IEM Ersatz zu sehen.
    Natürlich sind auch ein paar skurrile Sachen dabei.

    Zum Beispiel was ist hier los? War der F5-8 Tastenprogrammierer in Urlaub?
    Man weiß es nicht.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Mittwoch, 24. April 2013 05:55
    Beantworter
  •  
    > Zum Beispiel was ist hier los? War der F5-8 Tastenprogrammierer in Urlaub?
     
    Hast Du mal einen geplanten Task mit Aktion "E-Mail senden" erstellt?
    Schon interessant, was "to" auf deutsch alles heißen kann, wenn man es
    kontextfrei übersetzt :-)))
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 24. April 2013 06:40
    Beantworter
  • Am 24.04.2013 07:55, schrieb Matthias Wolf [MVP]:

    Vor allem die Zonen. Technisch sollte das ja ein Klacks sein.

    Die dürfen da nicht rein. Das MÜSSEN Policies sein.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Mittwoch, 24. April 2013 10:06
  •  
    > Die dürfen da nicht rein. Das MÜSSEN Policies sein.
    >
     
    Nö. Das dürfen Einstellungen sein, und wenn ICH das will, dann mache ich
    Policies daraus. Will ich natürlich :-D
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 24. April 2013 14:54
    Beantworter
  • @Martin:
    http://social.technet.microsoft.com/Forums/en-US/gruppenrichtliniende/thread/a469324a-dd65-4cd8-92d5-b5dfcef88412

    :-)

    @Mark:
    Nö.

    1. Wer sagt denn, dass die GPPs nicht in den gleichen Bereich schreiben können wie die Policies?
    Gut, das ist mit Sicherheit wieder irgendwo definiert, aber technisch möglich ist es natürlich.

    2. GPPs werden wesentlich öfters angewendet als Einstellungen der Registry CSE.
    Siehe ähnlicher Fall (Thursday, December 20, 2012 2:53 PM)
    http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/fe450fa0-89a3-4abe-94dc-99a756a998fb



    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Mittwoch, 24. April 2013 17:06
    Beantworter
  • Als Ergänzung zu Punkt 2, ich weiß natürlich auf was du hinaus willst.
    Der Benutzer kann sonst die Einstellungen ändern. Aber hier, siehe 1.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Mittwoch, 24. April 2013 17:11
    Beantworter
  •  
    >
     
    Jetzt weiß ich wieder, wo ich das zum ersten Mal gesehen hab :-D
     
    >
    > 1. Wer sagt denn, dass die GPPs nicht in den gleichen Bereich
    > schreiben können wie die Policies?
    >
     
    (Geht für Hintergrundbild auch super, und natürlich für alles andere
    auch...)
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 24. April 2013 18:28
    Beantworter
  • (Geht für Hintergrundbild auch super, und natürlich für alles andere

    auch...)

    Yes Sir, I know.

    Man muss nur beachten, verwendet man die Benutzerkonfiguration dann Haken raus
    bei "Run in logged-on user's security context (user policy option)".
    Würde vielleicht noch gut in deinen Artikel passen, zumindest wenn es nicht ohnehin
    nicht schon irgendwo steht...


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Mittwoch, 24. April 2013 19:07
    Beantworter
  • Hi,

    Am 24.04.2013 19:06, schrieb Matthias Wolf [MVP]:

    1. Wer sagt denn, dass die GPPs nicht in den gleichen Bereich
    schreiben können wie die Policies?

    Weil es PREFERENCES sind und eben keine Policies. Du mischt gerade die Technik.

    Zonenzuweisung ist Security. Damit kann ich den UAC Protected Mode des IE aushebeln. Technisch ist es natürlich einfachst möglich, die Zonen als RegEinträge ausserhalb der Policies einzupflegen.
    Aber ich finde es richtig, das es nicht geht.

    Wenn du Zonenzuweisungen ohne Policies brauchst: GPP registry. Fertig.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Mittwoch, 24. April 2013 20:58
  • Damit kann ich den UAC Protected Mode des IE aushebeln.

    Dann hätte die Konfiguration der Sicherheitszonen auch nichts in den GPPs verloren.
    Diese ist ebenfalls mehrfach vorhanden (GPP, Registry CSE, IEM). Warum also nicht auch bei den zone-mappings?

    Weil es PREFERENCES sind und eben keine Policies. Du mischt gerade die Technik.

    Mark, das ist mir und allen von uns die täglich mit GPOs zu tun haben schon klar.
    Allerdings interessiert es den normalen Admin nicht.
    Der sucht nämlich genau an dieser Stelle nach den Zone-Mappings.
    Für ihn ist es unlogisch, warum dort nicht auch die Zonenzuweisungen zu finden sind.
    Eine optionale Lösung wäre eben das direkte (wenn auch ja, gemischte Technik) Schreiben
    in die Policy Sektion.

    Zonenzuweisung ist Security.
    Damit wären wir dann eher bei der Security CSE ;-)


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Mittwoch, 24. April 2013 21:41
    Beantworter
  • Am 24.04.2013 23:41, schrieb Matthias Wolf [MVP]:

    Dann hätte die Konfiguration der Sicherheitszonen auch nichts in den
     GPPs verloren.*/

    Sicherheitsreiter ausblenden  ... ändert der User nichts dran.

    Der sucht nämlich genau an dieser Stelle nach den Zone-Mappings.

    Na gut, Killer Argument:
    MS muss dafür eine neue GUI bauen und es in 90 Sprachen
    tesften/implementieren. Das ist den Aufwand nicht wert.

    Es geht doch prima per Registry.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Donnerstag, 25. April 2013 07:31
  • Hallo Matthias,

    danke für deine rasche Antwort, leider konnte ich nicht früher an der Sache weiter arbeiten:

    Deine Anmerkungen habe ich schon alle berücksichtigt und ich kenne auch den Unterschied zwischen Einstellungen und Richtlinien.

    Jedenfalls die Versionsangabe bei den Settings von 11.0.0.0 auf jetzt 99.0.0.0 hat nichts gebracht.

    Was mich aber verwundert ist, dass ich die neuen ADMX Vorlagen für Windows 8 und W2k12 auf dem Server installiert habe, bei den Richtlinien die Vorgaben für den IE10 enthalten sind, aber die Settings vor dem Ändern der Versionskennung nachwievor nur den Internet Explorer 8 (Vers. 9.0.0.0) unterstützen.

    Ich habe immer gedacht, die IE Settings sind mit in der ADMX-Vorlage enthalten, zumal die Einstellungen über die GPMC ja gemeinsam mit den Richtlinien verbreitet werden.

    Hinsichtlich der Richtlinie für "Laufwerke ausblenden" müsste dies in der RSOP am lokalen System auftauchen.

    Donnerstag, 25. April 2013 08:03
  • Ist bekannt! Danke!

    Donnerstag, 25. April 2013 08:04
  • Vielleicht ist das der Grund, warum die Einstellungen nicht auftauchen: F5-F8. Die Proxyeinstellungen stellen ja eine Änderung dar.

    Aber wo kann ich nachschauen, dass die Einstellungen an der lokalen Station auch angekommen sind?

    Donnerstag, 25. April 2013 08:14
  • Bei den Einstellungen für den "IE 8" (jedenfalls so angezeigt) habe ich unter Gemeinsame Optionen angehakt: Im sicherheitskontext des angemeldeten Benutzers ausführen. Ist das richtig? Wäre das nicht auch ohne Haken so, weil ich die Einstellungen ja in der Benutzerkonfiguration vorgenommen habe?
    Donnerstag, 25. April 2013 08:22
  • Völlig richtig! Etwas Ordnung im System ist notwendig. Diese vermisse ich aber bei bestimmten Dingen, wie beschrieben, komplett.

    Momentan habe ich den Eindruck, dass MS uns einige Bastelarbeit verursacht! Das ist nicht nur bedenklich!

    Donnerstag, 25. April 2013 08:26
  • Noch nicht, weil wir die Einstellungen so wie beschrieben vorgenommen haben, aber nicht so recht nachprüfen können, warum sich die lokalen Stationen weder die Richtlinie für die "Laufwerke ausblenden" noch für die IE-settings ziehen.

    Wie können wir das prüfen. Das ist ein generelles Problem!

    Donnerstag, 25. April 2013 08:33
  • Am 25.04.2013 10:33, schrieb Jenny Frank:

    Wie können wir das prüfen. Das ist ein generelles Problem!

    BenKonf\AdmVorlg\Desktop
    "Alle Symbole ausblenden"

    ... wenn das klappt und das ist recht offensichtlich, dann funktioniert die "Hülle" und sas erste Thema "geht das überhaupt" ist geklätr.

    Tscö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Donnerstag, 25. April 2013 09:23
  • Na gut, Killer Argument:
    MS muss dafür eine neue GUI bauen und es in 90 Sprachen
    tesften/implementieren. Das ist den Aufwand nicht wert.

    Die GUI gibt es doch schon (im IE) sie muss nur noch für die GPPs recycled werden :-)

    Aber egal, lieber zurück zum eigentlichen Problem.

    Was mich aber verwundert ist, dass ich die neuen ADMX Vorlagen für Windows 8 und W2k12 auf dem Server installiert habe, bei den Richtlinien die Vorgaben für den IE10 enthalten sind, aber die Settings vor dem Ändern der Versionskennung nachwievor nur den Internet Explorer 8 (Vers. 9.0.0.0) unterstützen.

    Mit ADMX Vorlagen hat das schon mal nichts zu tun.
    Welche GPMC hast du verwendet? (2008 R2? Server 2012?...).

    Schau dir doch einmal das hier an, ggf. hast du generell schon einen Denkfehler irgendwo.
    http://matthiaswolf.blogspot.de/2013/03/der-groe-group-policy-troubleshooting.html


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Donnerstag, 25. April 2013 11:02
    Beantworter
  • Hallo Matthias,

    der erste Teil des Problems ist gelöst:

    Die InternetExplorer Einstellungen arbeiten jetzt.

    Ich habe die Versionskennung von 11.0.0.0 auf 99.0.0.0 hochgesetzt.

    Schon etwas dubios! Oder?

    Das zweite Problem mit dem "Laufwerk ausblenden" läuft immer noch nicht. In der lokalen RSOP werden nunmehr alle zentral vorgegebenen Richtlinien inhaltlich korrekt angezeigt. Nur angewendet sind diese nicht.

    In der Registry unter HKCU\SW\MS\W\CV\GroupPolicy finde ich unter History IDs, die ich nicht zuordnen kann. Unterhalb dieser IDs befinden sich wiederum Einträge (0, 1, 2 etc), die dann die Richtlinien IDs enthalten aus dem AD. In der Regel hat jede dieser IDs nur einen Untereintrag.

    Seltsam ist, dass die IE- und Office-Adms greifen, Startmenü, Desktop, Datei-Explorer-Vorgaben jedoch nicht. das sind alle Benutzerkonfigurationen.

    Die Computerkonfigurationen-GPOs werden alle angewendet.

    Wir haben die Vorlagen für den W2K12 auf den W2K8/R2 kopiert.

    Donnerstag, 25. April 2013 16:21
  • Das zweite Problem mit dem "Laufwerk ausblenden" läuft immer noch nicht. In der lokalen RSOP werden nunmehr alle zentral vorgegebenen Richtlinien inhaltlich korrekt angezeigt. Nur angewendet sind diese nicht.

    Von welche Richtlinie reden wir denn hier genau?
    Reden wir von dieser Policy?

    http://gpsearch.azurewebsites.net/#2650

    Wenn ja, dann prüfe bitte einmal ob die entsprechenden Key unter HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer angelegt werden.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Donnerstag, 25. April 2013 16:36
    Beantworter
  • Am 25.04.2013 schrieb Jenny Frank:

    Bei den Einstellungen für den "IE 8" (jedenfalls so angezeigt) habe ich unter Gemeinsame Optionen angehakt: Im sicherheitskontext des angemeldeten Benutzers ausführen. Ist das richtig? Wäre das nicht auch ohne Haken so, weil ich die Einstellungen ja in der Benutzerkonfiguration vorgenommen habe?

    Das wird beide Male nur ausgeführt, wenn sich ein Benutzer anmeldet.
    Der Unterschied liegt in den Berechtigungen. Du kannst z.B. eine Datei
    von A nach B (%programfiles%) kopieren, wenn Du den Haken setzt bei
    'Im Sicherheitskontext...' dann wird die Aktion fehlschlagen, denn ein
    Benutzer darf nicht in %programfiles% schreiben. Ohne gesetzten Haken
    wird kopiert.

    Servus
    Winfried


    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 25. April 2013 19:56
  • Am 25.04.2013 18:21, schrieb Jenny Frank:
    >
    > Ich habe die Versionskennung von 11.0.0.0 auf 99.0.0.0 hochgesetzt.
    >
    > Schon etwas dubios! Oder?
    >
     
    Nicht wirklich - wenn Du mit Win8/Server 2012 ein GPP Item
    "Interneteinstellungen" für IE10 erstellst, kommt das hier dabei raus:
     
    <FilterFile lte="0" max="99.0.0.0" min="10.0.0.0" gte="1" type="VERSION"
    path="%ProgramFilesDir%\Internet Explorer\iexplore.exe" bool="AND"
    not="0" hidden="1"/>
     
    Jepp, 99.0.0.0 ;-D
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 25. April 2013 20:07
    Beantworter
  • Hallo Matthias,

    danke für deine Rückantwort.

    Ich kann das Verhalten dieser Gruppenrichtlinieneinstellungen in zwei fast identisch aufgebauten Netzwerken an verschiedenen Clients beobachten und die Ergebnisse nachvollziehen.

    Der DC-Controller, bei dem die Einstellungen nicht greifen, wurde im März mit W2K8/R2 installiert (hat jetzt auch die W2k12 Vorlagen). Der andere bei dem die Einstellungen funktionieren ist vom September 2012 mit Vorlagen aus dem Jahr 2011.

    Kurz nochmals zu meinem Verständnis:

    Das Ergebnis der angewendeten Richtlinien steht unter HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\

    Hier sehe ich bei der Installation wo "Laufwerke ausblenden" funktioniert unter Explorer die erwarteten Einträge "NoDrives, NoViewInDrive" etc. Das ist korrekt.

    Bei der nicht funktionierenden Installation mit den neuen Vorlagen tritt ein nicht nachvollziehbares Verhalten auf:

    Station 1: RSOP zeigt Vorgaben an, in Policies ist der korrekte  Eintrag vorhanden, nur die Laufwerke sind sichtbar

    Station 2: RSOP enthält keine Vorgaben, Policies leer, keine Laufwerke ausgeblendet. --> das ist richtig, aber richtig irre!

    Die verfügbaren Richtlinien stehen unter HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy. Was ich hier nicht nachvollziehen kann, ist die Anzahl der Einträge direkt in der Ebene unter History.

    Freitag, 26. April 2013 08:03
  • Der DC-Controller, bei dem die Einstellungen nicht greifen, wurde im März mit W2K8/R2 installiert (hat jetzt auch die W2k12 Vorlagen). Der andere bei dem die Einstellungen funktionieren ist vom September 2012 mit Vorlagen aus dem Jahr 2011.

    Nur noch einmal zum Verständnis, zum Anwenden der richtlinien werden keine Administrative Vorlagen benötigt.
    Diese ADMX und ADML Files werden nur zum Bearbeiten der Richtlinien benötigt.

    Station 1: RSOP zeigt Vorgaben an, in Policies ist der korrekte  Eintrag vorhanden, nur die Laufwerke sind sichtbar

    Poste bitte einmal einen reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /s

    Gibt es dort auch einen Key NoDrives unter
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer?

    Wenn ja, bitte löschen.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 26. April 2013 17:21
    Beantworter
  • Guten Tag,

    ich bin momentan einigermaßen verwirrt über diese ganze IEM / GPP-Problematik, welche sich mit dem Release des Internet Explorer 10 für Windows 7 / Server 2008R2 aufgetan hat.

    Ich habe in einem Kundennetzwerk mittels der IEM-Settings eine Gruppenrichtlinie definiert, welche allen Benutzern den Proxy-Server des Hauses übergibt. Soweit, so einfach...hat die letzten 7 Jahre bestens funktioniert.

    Nun wurde auf sämtlichen Servern und Clients per Windows Update der IE10 installiert. Resultat: Meine IEM-GroupPolicy wird nicht mehr ausgewertet, der Proxy muss manuell eingetragen werden...blöd.

    Habe nun eine Windows 8-VM mit installierten RSAT-Tools in die Domäne gehangen und will die Proxy-Einstellungen mittels GPP abbilden. Dummerweise gibt es vereinzelte Clients mit Windows XP und dem IE8. Kann ich in ein und dieselbe GPP-Richtlinie die Settings für IE8 und IE10 definieren oder muss ich hier zwei separate GPP-Richtlinien erstellen?

    Danke,

    Dominik

    Donnerstag, 23. Mai 2013 10:21
  •  
    > vereinzelte Clients mit Windows XP und dem IE8. Kann ich in ein und
    > dieselbe GPP-Richtlinie die Settings für IE8 und IE10 definieren oder
    > muss ich hier zwei separate GPP-Richtlinien erstellen?
     
    Ja, kannst Du. Mach ein GPP für IE 7 und bearbeite das XML:
    Aber bitte nicht "9.1.0.0" eintragen, sondern "99.0.0.0"
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort vorgeschlagen doalwa Donnerstag, 23. Mai 2013 15:54
    Donnerstag, 23. Mai 2013 14:31
    Beantworter
  •  
    > vereinzelte Clients mit Windows XP und dem IE8. Kann ich in ein und
    > dieselbe GPP-Richtlinie die Settings für IE8 und IE10 definieren oder
    > muss ich hier zwei separate GPP-Richtlinien erstellen?
     
    Ja, kannst Du. Mach ein GPP für IE 7 und bearbeite das XML:
    Aber bitte nicht "9.1.0.0" eintragen, sondern "99.0.0.0"
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

    Danke für die schnelle Antwort, hat bestens funktioniert!

    Donnerstag, 23. Mai 2013 15:55
  • Hallo liebe Freunde und Profis der Gruppenrichtlinien,

    es tut mir leid, wenn ich diesen Thread in den zurückliegenden Tagen nicht begleiten konnte. Jetzt muss ich aber zu einer Lösung kommen:

    1. Meine Aussage, dass mit dem IE10-Settings hätte sich gelöst, ist definitiv falsch. Hier habe ich mich täuschen lassen.

    2. In gleiche Richtung wirkend, besteht immer noch das Problem mit dem "Laufwerk ausblenden"

    Wollen wir uns zunächst nochmals um die IE10-Policy und Settings kümmern.

    Dazu füge ich die Original-Richtlinie als Textausdruck bei:

    GPO GSG Internet Explorer 10 W7-W2K8
    Daten ermittelt am: 23.05.2013 17:26:42
    hide all
    Allgemeinhide
    Detailshide
    Domäne GSG.local
    Besitzer GSG\Domänen-Admins
    Erstellt 22.04.2013 20:50:52
    Geändert 23.05.2013 17:23:00
    Benutzerrevisionen 73 (AD), 73 (sysvol)
    Computerrevisionen 0 (AD), 0 (sysvol)
    Eindeutige ID {D7C35B7D-9689-4E52-8D53-0C47E03674A0}
    GPO-Status Aktiviert
    Verknüpfungenhide
    Standort Erzwungen Verknüpfungsstatus Pfad
    EDV-Raum1 Nein Aktiviert GSG.local/Domain Computer/EDV-Raum1

    Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
    Sicherheitsfilterunghide
    Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:
    Name
    NT-AUTORITÄT\Authentifizierte Benutzer
    Delegierunghide
    Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das Gruppenrichtlinienobjekt
    Name Zulässige Berechtigungen Geerbt
    GSG\Domänen-Admins Einstellungen bearbeiten, löschen, Sicherheit ändern Nein
    GSG\Organisations-Admins Einstellungen bearbeiten, löschen, Sicherheit ändern Nein
    NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein
    NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein
    NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten, löschen, Sicherheit ändern Nein
    Computerkonfiguration (Aktiviert)hide
    Keine Einstellungen definiert
    Benutzerkonfiguration (Aktiviert)hide
    Richtlinienhide
    Administrative Vorlagenhide
    Richtliniendefinitionen (ADMX-Dateien) wurden aus dem zentralen Speicher abgerufen.
    Windows-Komponenten/Internet Explorerhide
    Richtlinie Einstellung Kommentar

    Wenn Sie diese Richtlinie aktivieren, wird im Dialogfeld "Internetoptionen" auf der Registerkarte "Verbindungen" die Schaltfläche "Einstellungen" abgeblendet angezeigt.

    Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer die Einstellungen für DFÜ-Verbindungen ändern.

    Wenn Sie die Richtlinie "Seite "Verbindungen" deaktivieren" einrichten (unter \Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung), müssen Sie diese Richtlinie nicht aktivieren, da "Seite "Verbindungen" deaktivieren" die Registerkarte "Verbindungen" aus der Benutzeroberfläche entfernt." gpmc_settingName="Änderung der Verbindungseinstellungen deaktivieren" gpmc_settingPath="Benutzerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Internet Explorer" gpmc_supported="Mindestens Internet Explorer 5.0" href="javascript:void();">Änderung der Verbindungseinstellungen deaktivieren
    Aktiviert
    Einstellungenhide
    Systemsteuerungseinstellungenhide
    Interneteinstellungenhide
    Internet Explorer 8: Internet Explorer 8 (Reihenfolge: 1)hide
    Allgemeinhide
    Startseite
    Hauptregisterkarte about:blank
    Verbindungenhide
    Einwähleinstellungen
    Verbindungsverhalten Keine Verbindung wählen
    Proxyserver
    Proxyserver für lokale Adressen umgehen Ja
    Proxyserveradresse für lokales Netzwerk (HTTP) Adresse: 10.30.0.1, Port: 800
    Proxyserveradresse für lokales Netzwerk (Secure) Adresse: 10.30.0.1, Port: 800
    Keine Proxyserver für Adressen verwenden, die folgendermaßen beginnen ;
    Gemeinsamhide
    Optionen
    Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein
    Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption) Nein
    Element entfernen, wenn es nicht mehr angewendet wird Nein
    Nur einmalig anwenden Nein

    Angewendet wird von dieser Richtlinie folgendes:

    Benutzerkonfiguration - Richtlinie

    * Administrative Vorlage

    ** Windows-Komponenten/Internet Explorer

    *** Änderung der Proxyeinstellungen verhindern

    *** Änderung der Verbindungseinstellungen deaktivieren

    Die Einstellungen für den InternetExplorer werden komplett ignoriert:

    <?xml version="1.0" encoding="utf-8" ?>
    - <InternetSettings clsid="{B611EB48-F531-42cd-A1F6-5E0D015377BA}">
    - <IE8 clsid="{683F7AD7-E782-4232-8A6D-F22431F12DB5}" name="Internet Explorer 8" status="Internet Explorer 8" changed="2013-05-23 15:23:01" uid="{ACF49B7D-9CD2-45B0-AEE6-4B270A9679B2}" bypassErrors="1">
    - <Filters>
      <FilterFile hidden="1" not="0" bool="AND" path="%ProgramFilesDir%\Internet Explorer\iexplore.exe" type="VERSION" gte="1" min="8.0.0.0" max="99.0.0.0" lte="0" />
      </Filters>
    - <Properties>
      <Reg id="ProxyOverride" type="REG_SZ" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Windows\CurrentVersion\Internet Settings" name="ProxyOverride" value=";<local>" />
      <Reg id="ScriptAddress" disabled="1" type="REG_SZ" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Windows\CurrentVersion\Internet Settings" name="AutoConfigURL" value="" />
      <Reg id="UseProxyServer" type="REG_DWORD" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Windows\CurrentVersion\Internet Settings" name="ProxyEnable" value="1" />
      <Reg id="ProxyServerAndPort" type="REG_SZ" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Windows\CurrentVersion\Internet Settings" name="ProxyServer" value="http=10.30.0.1:800;https=10.30.0.1:800" />
      <Reg id="Homepage" type="REG_SZ" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Internet Explorer\Main" name="Start Page" value="about:blank" />
      <Reg id="SecondaryStartPages" type="REG_MULTI_SZ" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Internet Explorer\Main" name="Secondary Start Pages" value="" />
      <Reg id="DefaultInternet" disabled="1" type="REG_SZ" hive="HKEY_CURRENT_USER" key="Software\Microsoft\RAS AutoDial\Default" name="DefaultInternet" value="" />
      <Reg id="EnableAutodial" type="REG_DWORD" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Windows\CurrentVersion\Internet Settings" name="EnableAutodial" value="0" />
      <Reg id="NoNetAutodial" type="REG_DWORD" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Windows\CurrentVersion\Internet Settings" name="NoNetAutodial" value="0" />
      <Reg id="DisableWizard" disabled="1" type="REG_DWORD" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Internet Connection Wizard" name="Completed" value="0" />
      </Properties>
      </IE8>

     </InternetSettings>

     In der InternetSettings.xml ist zudem zu erkennen, dass die Versionsangabe korrekt gesetzt wurde.

    mfg

    jf

    Donnerstag, 23. Mai 2013 16:20
  • Am 23.05.2013 18:20, schrieb Jenny Frank:
    > Die Einstellungen für den InternetExplorer werden komplett ignoriert:
     
    Dann fang doch bitte mit gpresult /h report.html (oder dem
    Ergebnisbericht in der GPMC) an. Wird die GPO überhaupt angewendet? (Die
    ist mit einer SIte verknüpft, wenn ich das richtig gesehen habe...)
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 23. Mai 2013 19:49
    Beantworter
  • Hallo Martin,

    ich habe für ein System einmal gpresult /h ausgeführt und könnte Dir die html zusenden. Geht das auch über dieses Forum? Ich habe das noch nicht gemacht!

    Ansonsten:

    Wie ich schon berichtet hatte, wird die GPO betreffend des Benutzerteils und der Internet Explorer - Vorgaben in den ADMs richtig angewendet.

    Bei den Settings allerdings sieht es, wie berichtet, düster aus!

    Im Ergebnisreport ist auch deutlich ersichtlich, dass umgekehrt das "Laufwerk ausblenden" als Richtlinie funktionieren sollte, aber am System nicht greift.

    mfg

    jf

    Freitag, 24. Mai 2013 07:26
  • Am 24.05.2013 09:26, schrieb Jenny Frank:
    > ich habe für ein System einmal gpresult /h ausgeführt und könnte Dir
    > die html zusenden. Geht das auch über dieses Forum? Ich habe das noch
    > nicht gemacht!
     
    Anhängen kannst Du hier leider nichts. Nur reinkopieren, würde schon
    reichen. Oder schicken... martin unterstrich binder at gmx punkt de
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 24. Mai 2013 10:37
    Beantworter
  • Am 24.05.2013 schrieb Jenny Frank:

    ich habe für ein System einmal gpresult /h ausgeführt und könnte Dir die html zusenden. Geht das auch über dieses Forum? Ich habe das noch nicht gemacht!

    Du hast ein Skydrive, das kannst Du benutzen:
    http://social.answers.microsoft.com/Forums/de-DE/w7networkde/thread/af6c55f1-0e82-460e-babb-794ff26e5698

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 24. Mai 2013 15:44
  • Hallo Martin,

    hier der Link zu skydrive.live.com mit der Datei GSG2.html:

    https://skydrive.live.com/#cid=C3BCE6593E915BA3&id=C3BCE6593E915BA3%21126

    Die Datei gibt Aufschluss über die gesamte GPO-Struktur für die PCs in diesem Raum.

    mfg

    jf

    Freitag, 24. Mai 2013 17:02
  • Danke Winfried für den Hinweis! Super!

    Die Datei habe ich nun eingestellt. Vielleicht hilft diese nun weiter, um endlich weiterzukommen.

    mfg

    jf

    Freitag, 24. Mai 2013 17:04
  •  
    >
    > Die Datei gibt Aufschluss über die gesamte GPO-Struktur für die PCs in
    > diesem Raum.
    >
    >
     
    Schön, aber das kann ich übers Corpnet nicht abrufen - "personal
    storage" ist als Risiko klassifiziert... Ach ja - Dropbox, Teamdrive
    etc. natürlich auch. Vielleicht schaut sich's jemand anderes an? ;-)
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Samstag, 25. Mai 2013 16:34
    Beantworter
  • Ok, kurze Analyse ;-) (und ein paar Anregungen für die Zukunft und ein paar "blöde" Fragen...)

    - Warum ist in dem Report "inis" ersetzt durch "XXXX"?

    - Du hast Loopback Replace aktiviert. Das ist Dir bewußt, oder?

    - Eigene Kennwortrichtlnien nicht in der Default Domain Policy machen - besser eine eigene erstellen und mit der Domäne verknüpfen.

    - Minimale Kennwortlänge "0 Zeichen", maximales Kennwortalter "0 Tage"???

    - "LM- und NTLM-Antworten senden": Habt Ihr SAMBA? Wenn nein: "Nur NTLMv2", alles andere verweigern

    - Firewall für Vista und neuer nicht unter Administrative Vorlagen, sondern unter Windows-Einstellungen/Sicherheitseinstellungen machen

    - Laut Deinem Post oben soll 10.30.0.1 als Proxy gesetzt werden - im RSoP steht 10.10.0.1 als Adresse, und das GPO ist auch ein anderes.

    Ansonsten sieht das eigentlich so aus, als wenn alles ok wäre...


    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

    Sonntag, 26. Mai 2013 13:25
    Beantworter
  • Hallo Martin,

    zunächst herzlichen Dank für Dein Engangement!

    Im Report ist INIS durch XXXX ersetzt, um nicht markenrechtliche Probleme zu bekommen. Habe ich da was übersehen?

    Der Loopbackup-Mode ist aktiviert, das ist mir bewusst! Aber ich schalte ihn mal testweise weg.

    Die Kennwortrichtlinie, Kennwortlänge sind anwendungssoftwarebezogen notwendig!

    LM- und NTLM: wird geändert, kein Samba im Einsatz.

    Firewall: prüfe ich ab, dürfte aber keine Auswirkungen haben

    Der Proxy muss die 10.30.0.1 haben, ist aber auch so in der GPO eingestellt.

    mfg

    jf

    Montag, 27. Mai 2013 11:51
  •  
    > Im Report ist INIS durch XXXX ersetzt, um nicht markenrechtliche
    > Probleme zu bekommen. Habe ich da was übersehen?
    >
     
    Weiß ich nicht - ich fand "AdmXXXXtrative Vorlagen" und "AdmXXXXstrator"
    halt eigenartig ;-)
     
    > Der Proxy muss die 10.30.0.1 haben, ist aber auch so in der GPO
    > eingestellt.
     
    Warum steht dann im RSoP 10.10.0.1, und warum heißt die GPO dafür im
    RSoP anders als in dem von Dir geposteten GPO-Einstellungsbericht?
    Irgendwas paßt da nicht zusammen...
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Montag, 27. Mai 2013 18:58
    Beantworter
  • Hallo Martin,

    das was Du in der Datei siehst passt: Ich habe die gepostete Datei etwas modifiziert: INIS --> XXXX

    10.30. --> 10.10. GSG --> TTT

    mfg

    jf

    Dienstag, 28. Mai 2013 14:48
  •  
    > das was Du in der Datei siehst passt: Ich habe die gepostete Datei
    > etwas modifiziert: INIS --> XXXX
     
    Das ist immer "grenzwertig"... Egal: Ich finde keinen (offensichtlichen)
    Fehler, ich kenne die Quell-GPOs und das Zielbild nicht - per Forum bin
    ich jetzt eigentlich raus.
     
    Das sollte sich möglicherweise jemand mal direkt anschauen. Und vor
    allem erklärt bekommen, was genau das Problem ist ;-)
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 28. Mai 2013 19:51
    Beantworter
  • Hallo Martin,

    Die Summe aller Gruppenrichtlinien und -einstellungen habe ich heute deaktiviert und wieder einzeln in Betrieb genommen. 

    Aber ich denke, ich bin ein Stück weiter gekommen.

    In diesem Forumsbeitrag habe ich mich ja auf den IE und auf Laufwerke ausblenden konzentriert. Das war wahrscheinlich falsch.

    Die Einstellungen, die gemacht habe, werden alle der Reihe nach angewendet, sofern ich nach dem Login eines Benutzers nochmals ein gpupdate /force an der Station durchführe.

    Warum ist das nicht aufgefallen und in dieser Form eigentlich ganz schlecht?

    1. Die Festplatten der Clients sind mit einem Festplattenschutz versehen, der nach dem Neustart den Rechner "bereinigt".

    2. Daher dauert die Erstanmeldung eines Benutzers und das Anlegen des Profiles nach Neustart länger als normal.   

    3. Bei Windows 7 und Windows 2008 R2 - Umgebungen sind diese Loginzeiten länger als bei Windows XP und W2K3. Deswegen habe ich mich mit dem Umstieg auf W7 und W2K3 gewundert, dass die Anwendung der GPOs teilweise dort nicht mehr lief, wo sie zuvor nie ein Problem dargestellt hatte.

    4. Typischer Fall Druckerrichtlinie. Je nach Druckertreiber dauert die  Druckerbereitstellung länger oder kürzer.

    Wenn ich Pech habe, ist der Drucker noch nicht dazu gebunden und ich kann ihn dann mit einem Setting auch nicht zum standarddrucker machen.

    Quintessenz: Wie kann ich also sicherstellen, dass nach dem User-Login nochmals die GPOs zwangsweise abgeglichen werden?

    Dienstag, 28. Mai 2013 21:25
  • Am 28.05.2013 23:25, schrieb Jenny Frank:
    > Quintessenz: Wie kann ich also sicherstellen, dass nach dem User-Login
    > nochmals die GPOs zwangsweise abgeglichen werden?
     
    Always wait for the network ist aktiviert?
    Ansonsten einfach Computerstart- oder Logonskript: "gpupdate /force
    [/wait:0]"...
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 29. Mai 2013 07:35
    Beantworter
  • Hallo Martin,

    da habe ich auch schon dran gedacht, aber der Server ist ein Windows 2008 R2 und die Clients Windows 7, so dass die Einstellungen nicht mehr kompatibel sind zum beschriebenen Artikel.

    Auch das Startup oder Login-Script sind eher Hilfskrücken, weil man nicht weiß, wo was wann greift.

    mfg

    jf

    Mittwoch, 29. Mai 2013 09:25
  •  
    > da habe ich auch schon dran gedacht, aber der Server ist ein Windows
    > 2008 R2 und die Clients Windows 7, so dass die Einstellungen nicht
    > mehr kompatibel sind zum beschriebenen Artikel.
     
    Was ist in welchem Artikel beschrieben und nicht mehr kompatibel?
     
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 29. Mai 2013 09:30
    Beantworter
  • Hallo Martin,

    in dem von Dir durchgegebenen:

    http://gpsearch.azurewebsites.net/#1839 Always wait for the network

    Also ich teste hier mit Hochdruck. Das Problem kann ich weiter konkretisieren:

    Von den im GPO-Bericht enthaltenen Richtlinien und Settings werden Teile der Richtlinien während der Startphase und andere eben erst nach einem manuellen GPUPDATE /FORCE auf das System angewendet.

    Die einzige Regel, die nicht funktioniert, so aber immer arbeitete, ist die Regel Laufwerke A-D ausblenden. 

    Ich habe deshalb die lokale Richtlinie eingestellt und die NetzGPOs deaktiviert. Aber auch die lokale Richtlinie wird an diesem Punkt nicht ausgeführt.

    Langsam bin ich ratlos.

    Mittwoch, 29. Mai 2013 11:34
  • Am 29.05.2013 schrieb Jenny Frank:

    http://gpsearch.azurewebsites.net/#1839 Always wait for the network

    Notes:
    -If you want to guarantee the application of Folder Redirection,
    Software Installation, or roaming user profile settings in just one
    logon, enable this policy setting to ensure that Windows waits for the
    network to be available before applying policy.
    -If Folder Redirection policy will apply during the next logon,
    security policies will be applied asynchronously during the next
    update cycle, if network connectivity is available.

    Diese Einstellung setze ich immer in einem Netzwerk. Auch das mit
    dem Computerstartupscript stelle ich immer ein:
    http://www.gruppenrichtlinien.de/artikel/fast-logon-schnelles-anmelden-asynchrones-startverhalten-ehemals-faq-36/

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 29. Mai 2013 16:41
  • Hallo Winfried,

    danke für deine Rückantwort!

    ich habe den Festplattenschutz deaktiviert und die Richtlinieneinstellungen in einer Domänencomputerregel aufgenommen, den Rechner neu gestartet, als admin angemeldet, GPUPDATE /Force ausgeführt und wiederum neu gestartet.

    Nach diesem Vorgehen ist folgendes festzustellen:

    1. Die Regel für Laufwerke ausblenden und Zugriff sperren wird weiterhin nicht angewendet! Wie komme ich dem Problem auf die Schliche?

    2. Die Druckersteuerungsregel und wahrscheinlich auch andere Teile werden erst nach gpupdate /force aktiv

    3. Kann man den Befehl GPUpdate /force in eine cmd packen und ausführen lassen: Wo Computer/Benutzer, Wann?

    Wir haben das schon probiert, hat aber nicht funktioniert.

    Also das ist absolut mysteriös.

    mfg

    jf

    Mittwoch, 29. Mai 2013 17:44
  • Am 29.05.2013 schrieb Jenny Frank:

    ich habe den Festplattenschutz deaktiviert und die Richtlinieneinstellungen in einer Domänencomputerregel aufgenommen, den Rechner neu gestartet, als admin angemeldet, GPUPDATE /Force ausgeführt und wiederum neu gestartet.

    Normalerweise ist diese Vorgehensweise IMHO so ausführlich nicht
    notwendig.

    1. Die Regel für Laufwerke ausblenden und Zugriff sperren wird weiterhin nicht angewendet! Wie komme ich dem Problem auf die Schliche?

    Wenn im Eventlog nichts zu finden ist, aktiviere das Logging für GPOs.

    2. Die Druckersteuerungsregel und wahrscheinlich auch andere Teile werden erst nach gpupdate /force aktiv

    Wenn im Eventlog nichts zu finden ist, aktiviere das Logging für GPOs.

    3. Kann man den Befehl GPUpdate /force in eine cmd packen und ausführen lassen: Wo Computer/Benutzer, Wann?

    Natürlich kannst Du das, damit beseitigst Du aber nicht das Problem,
    sondern umgehst es nur temporär.

    Wir haben das schon probiert, hat aber nicht funktioniert.

    Also das ist absolut mysteriös.

    Ich kann mit Martins Hinweis auf externe Hilfe eigentlich nur
    anschließen, einen Hinweis hätte ich noch.

    Erstell dir eine Testdomain mit Testcomputern und Testbenutzern. Lass
    alles auf Standard, setze nur eine Computer- und eine
    Benutzereinstellung. Computer neu starten und Benutzer anmelden.
    Werden die Einstellungen umgesetzt? Wenn ja, dann ganz langsam weiter
    an eure Einstellungen anpassen. Und immer testen, nur so kommst Du zum
    Fehler.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 31. Mai 2013 05:14
  •  
    > 1. Die Regel für Laufwerke ausblenden und Zugriff sperren wird
    > weiterhin nicht angewendet! Wie komme ich dem Problem auf die Schliche?
     
    GpSvcDebugLevel=0x00010002 und dann %windir%\debug\usermode\gpsvc.log
    untersuchen - wird Deine GPO hier verarbeitet? Was sagt die Registry
    Extension so zu Werten, die sie löscht oder setzt?
    (Das usermode-Verzeichnis muss vorher erstellt werden.)
     
    > 2. Die Druckersteuerungsregel und wahrscheinlich auch andere Teile
    > werden erst nach gpupdate /force aktiv
    >
     
    Was ist "die Druckersteuerungsregel"?
     
    > 3. Kann man den Befehl GPUpdate /force in eine cmd packen und
    > ausführen lassen: Wo Computer/Benutzer, Wann?
    >
    Kann man, ist aber nicht zielführend, da - siehe WInfrieds KOmmentar -
    nur Symptom, nicht Ursachenbehebung.
     
    > Also das ist absolut mysteriös.
     
    Wenn ich vollständige Informationen hätte, könnte Ich Dir von Anfang bis
    Ende exakt erklären, warum es sich so verhält, wie es das nun mal tut.
    Bei GPOs ist nichts mysteriös, alles ist nachvollziehbar und das meiste
    sogar dokumentiert.
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 31. Mai 2013 14:29
    Beantworter
  • Hallo,

    ich muss mich mal hier ran hängen, weil ich ein ähnliches Problem habe.

    Die Proxy-Einträge in den neuen GPPs für IE10 verhalten sich unsauber.
    Bei IE8 / IE9 ist das Verhalten i.O.

    Gegeben:
    - WS2012 mit IE10
    - GPO/GPP mit WS2012 bearbeitet
    - Erstellt wurde eine GPO mit zwei GPPs
    - GPP für Internet Explorer 8 und 9
    - GPP für Internet Explorer 10

    Folgende Einträge wurden bei beiden GPPs identisch gesetzt:

    Fenster "Einstellungen für lokales Netzwerk" (Verbindungen -> LAN-Einstellungen...)
    Haken bei "Proxyserver für LAN verwenden (...)"
    Adresse: proxy.domaene.de, Port: 3128
    Haken bei "Proxyserver für lokale Adressen umgehen"

    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    HTTP: proxy.domaene.de : 3128 (wurde automatisch vom ersten Fenster übernommen)
    Secure: proxy.domaene.de : 3128 (ausgegraut)
    FTP: proxy.domaene.de : 3128 (ausgegraut)
    Gopher: proxy.domaene.de : 3128 (ausgegraut)
    Socks: <leer>
    Haken bei "Für alle Protokolle denselben Proxyserver verwenden"
    Ausnahmen: <hier stehen einige IPs und Domänen>


    Wenn ich das in der GPP für Internet Explorer 10 mache, dann gibt es in der GPP IE10 folgendes Verhalten:

    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    Das Feld Adresse und Port ist nun grau und ohne Inhalt.
    Vorher stand da -> Adresse: proxy.domaene.de, Port: 3128


    Wenn ich nun am WS2012 diese Einstellungen im IE 10 prüfe, dann sehe ich folgendes:

    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    Das Feld Adresse und Port ist grau und ohne Inhalt.

    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    Der Haken bei "Für alle Protokolle denselben Proxyserver verwenden" ist nun NICHT mehr da.

    Hat dazu jemand eine Idee?
    Oder könnte jemand testen, wie das Verhalten bei ihm ist?


    Gruß
    Matthias

    Dienstag, 11. Juni 2013 10:37
  • Hi,

    Am 11.06.2013 12:37, schrieb Ma Fi:

    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    Das Feld Adresse und Port ist nun grau und ohne Inhalt.
    Vorher stand da -> Adresse: proxy.domaene.de, Port: 3128

    Ja. Fehler. Bug ist schon reported.

    Einzige Alternative im Erweitert Fenster alle Proxy/Socks/Gopher Einträge aktivieren, auch wenn es derselbe ist, dann gehts.

    Tschö
    mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Dienstag, 11. Juni 2013 15:46
  • Ja. Fehler. Bug ist schon reported.

    Um welchen Fehler geht es hier genau?

    Handelt es sich dabei auch um das fehlende F5-F8 Verhalten?

    Siehe hier: http://social.technet.microsoft.com/Forums/de-DE/gruppenrichtliniende/thread/aaf737ff-2ba9-49b2-bd9b-1a9fa356407e/
    Mittwoch, 24. April 2013 05:55.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 11. Juni 2013 17:02
    Beantworter
  • Am 11.06.2013 12:37, schrieb Ma Fi:

    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    Das Feld Adresse und Port ist nun grau und ohne Inhalt.
    Vorher stand da -> Adresse: proxy.domaene.de, Port: 3128

    Ja. Fehler. Bug ist schon reported.


    Hallo Mark,

    danke für die Info.

    Und was heißt das jetzt für uns Anwender.
    Gibt es von MS überarbeitete GPO-Templates?
    Wenn ja, bis wann kann man damit rechnen?

    Ich habe übrigens eine Lösung gefunden.
    Jetzt sehe ich die Proxy-Adresse und es wird auch alles im IE10 am Client korrekt gezogen.
    Ich muss morgen noch mal checken, wie ich da genau vorgegangen bin.


    Gruß
    Matthias

    • Als Antwort markiert Jenny Frank Dienstag, 11. Juni 2013 17:36
    Dienstag, 11. Juni 2013 17:22
  • Ja. Fehler. Bug ist schon reported.

    Um welchen Fehler geht es hier genau?

    bevor man auf "Erweitert" und "OK" geklickt hat:

    ... und nach dem man auf "Erweitert" und "ok" geklickt hat:

    Der Proxy wird nicht mehr verteilt, die Konfig ist kaputt.

    Schmach und Schande über mich, ich habe das Webfrontend verwendet ... I Gitt.

    :-)

    Tschö

    Mark

    Dienstag, 11. Juni 2013 18:54
  • ... und nach dem man auf "Erweitert" und "ok" geklickt hat:

    Schön, schön.
    Hatte ich noch nicht.

    Aber wie gesagt, auch im Fenster "Erweitert" wurde ja gepfuscht. Also verwundert mich das nicht.

    Irgendwo gab es nochmal so was Schönes in den IE 10 Preferences.
    Mal sehen ob ich das noch finde...


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 11. Juni 2013 18:58
    Beantworter
  • Hi,

    Am 11.06.2013 19:22, schrieb Ma Fi:

    Und was heißt das jetzt für uns Anwender.

    Das wir ein Problem haben. :-)

    Gibt es von MS überarbeitete GPO-Templates?

    Nein. Der Fehler ist nicht in einem Script, sondern in der Oberfläche.

    Wenn ja, bis wann kann man damit rechnen?

    Da er nicht kritisch ist, es eine Workaround gibt würde ich auf ein bis zwei Betriebsystemgenerationen tippen.

    GUI ist immer der größte Aufwand für Microsoft. Sie müssen die Anpassung durch ein riesiges Prüfverfahren für nahezu 100 Sprachen schicken, denn GUI muss in jeder Sprache stimmen.
    Das fassen sie nicht gerne an, wenn es keinen Zwang dazu gibt und die Entwicklung eigentlich schon abgeschlossen ist für das Produkt.
    Kommt auf die Todo Liste fürs nächste Mal ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Dienstag, 11. Juni 2013 19:03
  • Da er nicht kritisch ist, es eine Workaround gibt würde ich auf ein bis zwei Betriebsystemgenerationen tippen.

    Wie geht Dein Workaround?


    Hier die Beschreibung meines Workaround:

    Hier alles setzen:
    Fenster "Einstellungen für lokales Netzwerk" (Verbindungen -> LAN-Einstellungen...)
    Haken bei "Proxyserver für LAN verwenden (...)"
    Adresse: proxy.domaene.de, Port: 3128
    Haken bei "Proxyserver für lokale Adressen umgehen"

    Hier Ausnahmen eintragen:
    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    Ausnahmen: <hier stehen einige IPs und Domänen>
    Mit [OK] + [OK] das Fenster verlassen.

    Fenster "Einstellungen für lokales Netzwerk" (Verbindungen -> LAN-Einstellungen...)
    Hier sind nun die Felder Adresse und Port grau und ohne Inhalt.

    Wieder ins Fenster "Erweitert...":
    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    Haken ENTFERNEN(!) bei "Für alle Protokolle denselben Proxyserver verwenden"
    Alle oberen Felder leeren:
    HTTP: <leeren> : <leeren>
    Secure: <leeren> : <leeren>
    FTP: <leeren> : <leeren>
    Socks: <leeren> : <leeren>
    Mit [OK] + [OK] das Fenster verlassen.

    Hier wieder Adresse und Port eintragen (Felder sind jetzt wieder sichtbar):
    Fenster "Einstellungen für lokales Netzwerk" (Verbindungen -> LAN-Einstellungen...)
    Adresse: proxy.domaene.de, Port: 3128

    Wieder ins Fenster "Erweitert...":
    Fenster "Proxyeinstellungen" (Verbindungen -> LAN-Einstellungen... -> Erweitert...)
    Das Fenster ist jetzt wieder komplett ausgefüllt.
    Auch die Ausnahmen sind noch vorhanden.
    Mit [Abbrechen] das Fenster verlassen.

    Fenster "Einstellungen für lokales Netzwerk" (Verbindungen -> LAN-Einstellungen...)
    Mit [OK] das Fenster verlassen.

    Nun klappts auch mit der IE10 GPP.


    Gruß
    Matthias


    Donnerstag, 13. Juni 2013 11:42
  • Am 13.06.2013 13:42, schrieb Ma Fi:

    Wie geht Dein Workaround?

    Wie deiner, oder:

    HTTP: <leeren> : <leeren>
    Secure: <leeren> : <leeren>
    FTP: <leeren> : <leeren>
    Socks: <leeren> : <leeren>

    Alle Felder füllen. Dann ist die GUI im Fenster davor immer noch kaputt, aber die Werte werden am Client übernommen

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Jenny Frank Donnerstag, 13. Juni 2013 20:56
    Donnerstag, 13. Juni 2013 18:41