none
Programme und unsichere Dateien (von Netzlaufwerken) starten RRS feed

  • Allgemeine Diskussion

  • Hallo,

    auf Grund einer Nachfrage eines Kollegen mach ich heute wieder mal einen Versuch, hier Hilfe zu bekommen.

    Wie haben hier ein AD mit diversen Freigaben im Einsatz. Auf einer liegen die Homelaufwerke, auf einer anderen (ein anderer Server, aber im gleichen AD) liegen diverse umgleitete Dateien (alle User/Systemordner). So weit, so gut. Wenn jetzt auf der Freigabe mit den umgeleiteten Nutzerordnern (unter anderem auch Downloads) ein Programm gestartet werden soll, gibt es eine Sicherheitswarnung. Kopiert/verschiebt man die gleiche Datei auf die Freigabe mit den Homelaufwerken, kann diese ohne Probleme gestartet werden. Auf dem Server mit den Homes bin ich selbst Admin, bei der anderen Kiste muss ich immer erst fragen. Die Nutzer haben auf beiden Schreibrechte

    Versucht wurde von mir per GPO die "Liste der Site mit Zonenzuweisungen" anzupassen, bisher erfolglos. Zwar greift die GPO, der Fehler bleibt aber. Was ich überhaupt nicht finden kann (!): Intranetzone -> Programme und unsichere Dateien starten -> Aktiviert

    Die Server  laufen mit Windows 2008 R2, Clients mit W7 Pro.

    Lösungen die man im Web so findet, kommen nicht zum gewünschten Ergebnis bzw. wurden offensichtlich inzwischen die möglichen Settings verändert. Möglicherweise kann mir hier jemand auf die Sprünge helfen.



    • Bearbeitet irixfan Mittwoch, 18. November 2015 16:27
    • Typ geändert Teodora MilushevaModerator Mittwoch, 2. Dezember 2015 09:39 Die Threads die keine Aktivität haben, werden als Diskussion geändert. Das machen wir, um die Suche in dem Forum zu verbessern. Sie können den Typ jede Zeit ändern.
    Mittwoch, 18. November 2015 16:27

Alle Antworten

  • > Nutzerordnern (unter anderem auch Downloads) ein Programm gestartet
    > werden soll, gibt es eine Sicherheitswarnung.
     
    Und welche? Der Screenshot paßt irgendwie nicht zu Deiner
    Problembeschreibung :)
     
    Donnerstag, 19. November 2015 10:56
    Beantworter
  • Gut. In dem Falle ist das dann Stufe Zwei. Erst kommt die Standard-Sicherheitswarung von Windows

    Dann startet das Programm (in dem Falle putty), um dann mir der schon gezeigten Meldung abzustürzen. Das Verhalten ist reproduzierbar auf anden Laufwerken (Netz oder Lokal) nicht so, muss also mit der Freigabe zu tun haben. Die dafür zuständigen Admins stört das nicht so recht, mich schon.




    • Bearbeitet irixfan Donnerstag, 19. November 2015 11:03
    Donnerstag, 19. November 2015 11:02
  • > Gut. In dem Falle ist das dann Stufe Zwei. Erst kommt die
    > Standard-Sicherheitswarung von Windows
     
    Prüf mal die Eigenschaften der Exe im Explorer - unten rechts ein Button
    "Zulassen" oder so ähnlich? -> Alternate Data Stream, Zone.Identifier =
    Internet :)
     
    Ansonsten: Zonenzuordnung "filer02"=1 (oder 2) hast Du aktiv?
     
    Donnerstag, 19. November 2015 11:27
    Beantworter
  • Zonenzuordnung ist aktiv, tut aber nichts, habs mit "filer02 = 1" probiert als auch mit dem kompletten AD-Namen. Und wie schon erwähnt finde ich den sonst in Anleitungen beschriebenen Eintrag "Programme und unsichere Dateien starten" überhaupt nicht.


    Das Programm zulassen löst das Problem an sich ja nicht. Habs auch probiert und es bleibt beim Programmabsturz. Was mich vor Monaten eigentlich auch schon irritiert hatte war, wenn Nutzer PDF-Dateien nach dem Download direkt per Doppelklick starten wollten, kam der Spruch vom Acrobat-Reader "Datei nicht vorhanden". Auch hier ging das auf einer anderen Freigabe ohne Probleme. Also IST mit den Rechten/Einstellungen irgendetwas nicht wie soll. Da andere Bereiche, die diese Freigabe auch benutzen, da keinen Ärger mit haben, interessiert das dort leider nicht so richtig.



    • Bearbeitet irixfan Donnerstag, 19. November 2015 14:25
    Donnerstag, 19. November 2015 12:05
  • Am 19.11.2015 schrieb irixfan:

    Zonenzuordnung ist aktiv, tut aber nichts, habs mit "filer02 = 1" probiert als auch mit dem kompletten AD-Namen. Und wie schon erwähnt finde ich den sonst in Anleitungen beschriebenen Eintrag "Programme und unsichere Dateien starten" überhaupt nicht.

    Lass dir im IE die Statusleiste einblenden, jetzt zum Problem
    navigieren und beobachten welche Zone unten in der Statusleiste
    angezeigt wird wenn Du nur einmal auf die Datei klickst.

    Zusätzlich im IE Menü Extras > Internetoptionen > Reiter Sicherheit
    öffnen. Lokales Intranet anklicken, Sites auswählen. Den obersten
    Haken wegnehmen, die anderen setzen. Mit OK alles bestätigen und alle
    geöffneten Instanzen vom IE schließen, jetzt erneut probieren.

    Welche Version von Putty hast Du im Einsatz? Es gab erst kürzlich
    wieder ein neue Version. Überprüfen ob du die aktuellste nutzt.

    Welche Sicherheitsssoftware ist im Einsatz?

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Freitag, 20. November 2015 07:03
  • >Lass dir im IE die Statusleiste einblenden, jetzt zum Problem
    >navigieren und beobachten welche Zone unten in der Statusleiste
    >angezeigt wird wenn Du nur einmal auf die Datei klickst.

    Hab ich probiert: Angegezeigt wird da garnichts ...

    >Zusätzlich im IE Menü Extras > Internetoptionen > Reiter Sicherheit
    >öffnen. Lokales Intranet anklicken, Sites auswählen. Den obersten
    >Haken wegnehmen, die anderen setzen.

    Ist schon so gesetzt, hilft nicht ...

    >Welche Version von Putty hast Du im Einsatz? Es gab erst kürzlich
    >wieder ein neue Version. Überprüfen ob du die aktuellste nutzt.

    Die aktuelle 0.66, Ist aber eigentlich egal. Da kam das Problem eben nur richtig zum Tragen. Kopiere ich die gleiche Datei unter der gleichen Anmeldung auf ein andere Freigabe, geht alles wie es soll. Putty ist hier nicht das Problem, eher nur ein Beispiel ...

    >Welche Sicherheitsssoftware ist im Einsatz?

    Gar keine, da ich das in einer VM probiere. Das Verhalten der "normalen" Clients ist aber identisch.


    • Bearbeitet irixfan Freitag, 20. November 2015 07:15
    Freitag, 20. November 2015 07:14
  • Am 20.11.2015 schrieb irixfan:

    Lass dir im IE die Statusleiste einblenden, jetzt zum Problem
    navigieren und beobachten welche Zone unten in der Statusleiste
    angezeigt wird wenn Du nur einmal auf die Datei klickst.

    Hab ich probiert: Angegezeigt wird da garnichts ...

    Dann hast Du einen anderen IE als andere auf der Welt. Welcher IE ist
    auf welchen beteiligten Maschinen installiert?

    Welche Sicherheitsssoftware ist im Einsatz?

    Gar keine, da ich das in einer VM probiere. Das Verhalten der "normalen" Clients ist aber identisch.

    D.h. auf dem Server ist auch keine Sicherheitssoftware im Einsatz? Wie
    schauen die Freigabe- und NTFS-Berechtigungen im Vergleich zur
    Problemfreigabe aus?

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Freitag, 20. November 2015 07:41
  • IE 11 ist installiert. Aber warum sollte da auch etwas angezeigt werden? Der IE ist auf (mit Statusleiste) und ich klicke im Windows-Explorer auf die Datei. Da fehlt mir der Zusammenhang.

    Berechtigungstechnisch haben die Nutzer auf den ihnen zugeordneten Daten Lese und Schreibrecht, Admins Vollzugriff. Die Freigabe läuft etwas anders, da muss ich aber nachfragen denn die wird direkt von unseren Zentraladmins gesetzt. Soweit ich weiß, läuft auf den Servern Sophos-Antivirus. Auch da müsste ich erst fragen, die machen gerade Frühstück ;)

    Bei der "problemlosen" Freigabe sind für die Nenutzer die NTFS-Rechte auf "Ersteller-Besitzer=Vollzugriff" sowie Admins Vollzugriff und die Freigabe "Domänen-Benutzer=Vollzugriff" Und da läuft auch kein Virenscanner.

    Nachtrag: Freigabe und NTFS Berechtigungen auf filer02 sind wie "mein eigener" gesetzt. Ein deaktivierter Virenscanner brachte auch keine Änderung.

    Mystisch ...

    Ein Check der Windows-Ereignisanzeige brachte auch keine Erkenntnisse. Ein Eintrag könnte zwar passen "GPO konnte Namen nicht auflösen", da steht aber natürlich (windows-typisch) nicht welchen. Außerdem gibts per Ping die korrekte Antwort von allen in Frage kommenden Servern.


    • Bearbeitet irixfan Freitag, 20. November 2015 09:40
    Freitag, 20. November 2015 08:04
  • Am 20.11.2015 schrieb irixfan:

    IE 11 ist installiert. Aber warum sollte da auch etwas angezeigt werden? Der IE ist auf (mit Statusleiste) und ich klicke im Windows-Explorer auf die Datei. Da fehlt mir der Zusammenhang.

    Sorry, du mußt das natürlich im IE machen.

    Berechtigungstechnisch haben die Nutzer auf den ihnen zugeordneten Daten Lese und Schreibrecht, Admins Vollzugriff. Die Freigabe läuft etwas anders, da muss ich aber nachfragen denn die wird direkt von unseren Zentraladmins gesetzt. Soweit ich weiß, läuft auf den Servern Sophos-Antivirus. Auch da müsste ich erst fragen, die machen gerade Frühstück ;)

    Und auf den Clients läuft kein AV-Scanner?

    Bei der "problemlosen" Freigabe sind für die Nenutzer die NTFS-Rechte auf "Ersteller-Besitzer=Vollzugriff" sowie Admins Vollzugriff und die Freigabe "Domänen-Benutzer=Vollzugriff" Und da läuft auch kein Virenscanner.


    Nachtrag: Freigabe und NTFS Berechtigungen auf filer02 sind wie "mein eigener" gesetzt. Ein deaktivierter Virenscanner brachte auch keine Änderung.

    Wer oder was ist 'mein eigener'?

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Sonntag, 22. November 2015 20:24
  • "mein eigener" ist der, wo alles wie erwartet läuft. Auf den Clients läuft normalerweise  Sophia Antivirus,  auf dem Testsystem  (VM) gar nichts. Rückfragen bei den übergeordneten Administratoren brachten bisher keine fruchtbaren Erkenntnisse. Eigentlich sind die Systeme offenbar gleich konfiguriert und trotzdem tauchen diese Fehler auf.

    PS: Das hier mit dem Handy zu editieren, ist echt übel.


    • Bearbeitet irixfan Montag, 23. November 2015 07:24 Tippfehler
    Sonntag, 22. November 2015 21:31
  • Nachtrag zur Lösung des Problems: Es lag letzlich doch an leicht veränderten Freigabeeinstellungen. Die Nutzer durften nicht den übergeordneten Ordner lesen und die Rücknahme dieser Einschränkung bewirkte auch das Ende einiger anderer seltsamer Fehler. Freigaben wirklich nach logischen Prämissen einzurichten, führt offenbar nicht immer zu gewollten Ergebnissen.
    Donnerstag, 21. April 2016 17:45