phatair
Goto Top

Vertrauendwürdige Sites werden per GPO nicht vom WS 2k3 übernommen

Hallo zusammen,

ich möchte unsere Intranet Seite zu den vertrauendwürdigen Sites im Internet Explorer hinzufügen. Grund ist folgender, seit einem Windows Update ist es nicht mehr möglich Dateien die auf der Intranet Seite verlinkt sind (z.b. zu PDFs die bei uns im LAN liegen, zu öffnen. Dazu muss die Intranet Seite zu den vertrauenswürdigen Sites hinzugefügt werden.

Ich habe dazu folgende GPO aktiviert:
Computerkonfig -> Administrative Vorlagen -> Windows Komponenten -> Internet Explorer ->Internetsystemsteuerung -> sicherheitsseite -> Liste der Site zu Zonenzuweisung

Dort habe ich die Intranet Seite eingetragen und den Wert 2 (für vertrauenswürdige Site) vergeben.
Auf meinem Rechner (XP mit IE8) wird diese auch eingetragen. Auf unseren TS mit Windows Server 2003 und IE7 ist die Seite nicht eingetragen. Allerdings sind die Felder um vertrauenswürdige Seiten hinzuzufügen ausgegraut. Also zieht er die GPO schon, trägt nur die Seite nicht ein. Somit kann kein User auf dem TS die verlinkten Dateien auf unserer Intranet Seite öffnen

Hat jemand eine Idee was da falsch läuft? Ich weiß nicht mehr weiter...

Ich habe die gleiche Frage auch im mcseboard gestellt - nur das keine Verwirrung aufkommt face-smile

Content-Key: 173533

Url: https://administrator.de/contentid/173533

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 22.09.2011 um 16:04:07 Uhr
Goto Top
Hi.

Führ zunächst mal rsop.msc am Server aus.
Wenn sie angeblich gesetzt werden, dann hilft wohl nur ein Setzen manuell oder per Startskript oder per Group Policy Preference (GPP).
Ursache ist evtl. ein Bug. Mit vertr. Sites hatten wir auch GPO-Probleme und haben deshalb GPPs genommen. Für deren Verwendung muss auf xp/2003/Vista zunächst MS KB 943729 ausgerollt werden.
Mitglied: phatair
phatair 22.09.2011 um 16:36:58 Uhr
Goto Top
Hi DerWoWusste,

also laut rsop ist die GPO aktiv und auch die Einstellungen sind richtig, aber trotzdem ist in den vertr. Sites nichts enthalten und die links gehen auch nicht.

Ich hatte in einem Beitrag gelesen, dass es an den erweiteren Sicherheitseinstellugnen im IE ab Server 2003 liegen kann. Unter Software -> Windows Komponenten ist das aber nicht angehakt.

Ich habe auf einer Seite den Tip gefunden den Registry Key IEHarden auf 0 zu ändern. Damit sollen die erweiterten Sicherheitseinstellugnen deaktiviert werden:
Locate and then click the following registry subkey:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
In the details pane, right-click IEHardenIENoWarn, click Modify, type 0 (zero) in the Value data box, and then click OK.

Wenn ich das mache, steht auch in der vertr. Sites die Intranet Seite drinnen und die links funktionieren. Allerdings ist diese Einstellung ja unter den Current_User Settings, das heißt ich muss das irgendwie pro User einstellen

Dieses White Paper soll helfen eine adm zu erstellen mit der man den Registry Key per GPO einstellen kann. Hat damit jemand Erfahrung?

Eine weitere Sache ist die, dass es wohl 2 Möglichkeiten gibt die vertr. Sites per GPO zu definieren. Einmal wie oben beschrieben über die administrativen Vorlagen und dann noch wie in diesem Link hier beschrieben
Was ist den nun die richtige vorgehensweise?

Vielen Fragen, sorry. Ich würde mich über Hilfe sehr freuen face-smile
Mitglied: DerWoWusste
DerWoWusste 22.09.2011 um 19:26:03 Uhr
Goto Top
Stell doch konsequent IEharden auf 0 und gut. Das kannst Du mit einem Loginskript machen (reg add /? mal ansehen). Kannst auch über Windowskomponenten entfernen gehen und dort die Sicherheitskonfig des IEs deinstallieren. Manchmal wirkt dies jedoch nicht.
Den Regkey für IEHarden kannst Du auch per GPPs setzen, wenn das Skript noch zu schwierig ist.
Mitglied: phatair
phatair 22.09.2011 um 19:45:57 Uhr
Goto Top
Dann werde ich das wohl mit einem Loginskript machen. Da wir aber keine extra OU für die TS User haben, muss ich das dann wohl bei allen Usern mit rein nehmen. Sollte ja aber kein Problem sein.
In den Windowskomponenten ist der Haken eben schon entfernt bei den Sicherheitskonfig des IE.
Mitglied: DerWoWusste
DerWoWusste 22.09.2011 um 19:52:14 Uhr
Goto Top
Keine Domänen-GPO. Nimm ein lokales Logonskript am TS.
Mitglied: phatair
phatair 22.09.2011 um 19:55:17 Uhr
Goto Top
Auch eine Idee :D
Danke für die Hile!!!