7
IE GPO Einstellungen für vertrauenswürdige Sites ziehen nicht
Hallo,
ich habe ein GPO, welches bestimmte WebSites zu den vertrauenswürdigen Sites im IE hinzufügt:
USR/Administrative Vorlagen/Windows Komponenten/Internet Explorer/Internetsystemsteuerung/Liste der Zonenzuweisungen.
Dort habe ich ein paar Sites mit dem Wert 2 hinzugefügt.
Auf lokalen Clients zieht das auch wunderbar aber nicht auf Terminalservern.
Loopback steht auf Replace.
Der Richtlinienergebnissatz zeigt auch an, dass die Richtlinie abgearbeitet wird. Auch unter Richtlinienergebnissatz unter Einstellungen kann ich sehen, dass die Adressen eingetragen sein müssten. Unter Richtlinienereignissen kann ich keine Fehlermeldung entdecken.
Einzig in der Zusammenfassung unter Komponentenstatus steht bei Internet Explorer Zonemapping Erfolgreich (keine Daten).
Merkwürdig. Wieso zieht das nicht? Ich habe auch mal testweise eine weitere GPO erstellt, die explizit diese Eintragung erstellt aber wieder nichts.
Hat jemand eine Idee?
Grüße, Thomas
ich habe ein GPO, welches bestimmte WebSites zu den vertrauenswürdigen Sites im IE hinzufügt:
USR/Administrative Vorlagen/Windows Komponenten/Internet Explorer/Internetsystemsteuerung/Liste der Zonenzuweisungen.
Dort habe ich ein paar Sites mit dem Wert 2 hinzugefügt.
Auf lokalen Clients zieht das auch wunderbar aber nicht auf Terminalservern.
Loopback steht auf Replace.
Der Richtlinienergebnissatz zeigt auch an, dass die Richtlinie abgearbeitet wird. Auch unter Richtlinienergebnissatz unter Einstellungen kann ich sehen, dass die Adressen eingetragen sein müssten. Unter Richtlinienereignissen kann ich keine Fehlermeldung entdecken.
Einzig in der Zusammenfassung unter Komponentenstatus steht bei Internet Explorer Zonemapping Erfolgreich (keine Daten).
Merkwürdig. Wieso zieht das nicht? Ich habe auch mal testweise eine weitere GPO erstellt, die explizit diese Eintragung erstellt aber wieder nichts.
Hat jemand eine Idee?
Grüße, Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 266856
Url: https://administrator.de/contentid/266856
Printed on: April 18, 2024 at 04:04 o'clock
7 Comments
Latest comment
Moin Thomas,
Gruß,
Dani
- welcher Internet Explorer Version wird eingesetzt?
- Unter welchen Betriebssystem läuft der Domain Conoller?
- Wie hast du die Gruppenrichtlinie angelegt?
- Welche Betriebssystem läuft bei den RDS-Hosts?
Der Richtlinienergebnissatz zeigt auch an, dass die Richtlinie abgearbeitet wird
Bei dem betroffenen Benutzer durchgeführt oder der lokale Admin?Gruß,
Dani
Hi Dani,
danke für Deine Antwort.
IE 11
W2008 R2.
Wie meinst Du das? Über GPMC halt
W2008 R2
bei dem betroffenen User, wobei das alle User betrifft, sobald sie sich auf den Terminalservern einloggen. Auf W7 Clients ist wie gesagt alles wie es soll und genau die selbe GPO wie auf den Terminalservern schreibt die Sites rein. So falsch kann die GPO daher IMHO nicht sein.
Ach ja; Nachtrag: Die User können auf den Terminalservern (wie auch auf den W7 Clients) die betreffenden IE Einstellungen für vertrauenswürdige Sites nicht anpassen (ausgegraut), was ebenfalls darauf hindeutet, daß die GPO zieht. Nur eben mit dem Unterschied, daß auf dem Terminalservern Sites durch die GPO eingetragen werden.
Ich habe auch erst gedacht, daß eine andere GPO die gewünschten Einstellungen überschreibt aber das müßte dann ja im Richtlinienergebnissatz gesehen werden.
Bin auf Deine Tips gespannt.
Grüße, Thomas
danke für Deine Antwort.
IE 11
W2008 R2.
Wie meinst Du das? Über GPMC halt
W2008 R2
bei dem betroffenen User, wobei das alle User betrifft, sobald sie sich auf den Terminalservern einloggen. Auf W7 Clients ist wie gesagt alles wie es soll und genau die selbe GPO wie auf den Terminalservern schreibt die Sites rein. So falsch kann die GPO daher IMHO nicht sein.
Ach ja; Nachtrag: Die User können auf den Terminalservern (wie auch auf den W7 Clients) die betreffenden IE Einstellungen für vertrauenswürdige Sites nicht anpassen (ausgegraut), was ebenfalls darauf hindeutet, daß die GPO zieht. Nur eben mit dem Unterschied, daß auf dem Terminalservern Sites durch die GPO eingetragen werden.
Ich habe auch erst gedacht, daß eine andere GPO die gewünschten Einstellungen überschreibt aber das müßte dann ja im Richtlinienergebnissatz gesehen werden.
Bin auf Deine Tips gespannt.
Grüße, Thomas
Moin,
wenn du im RSoP das entsprechende Objekt unter "USR/Administrative Vorlagen/Windows Komponenten/Internet Explorer/Internetsystemsteuerung/Liste der Zonenzuweisungen" aufrufst, sind die Sites auch hinterlegt oder fehlen diese?
Was steht nach einem gpupdate /force in der Ereignisanzeige des RDS-Hosts, irgendwelche Warnung oder Fehler?!
Gruß,
Dani
wenn du im RSoP das entsprechende Objekt unter "USR/Administrative Vorlagen/Windows Komponenten/Internet Explorer/Internetsystemsteuerung/Liste der Zonenzuweisungen" aufrufst, sind die Sites auch hinterlegt oder fehlen diese?
Was steht nach einem gpupdate /force in der Ereignisanzeige des RDS-Hosts, irgendwelche Warnung oder Fehler?!
Gruß,
Dani
Salve,
nein, da sind sie drin. Und auch, von welcher GPO sie kommen. Dementsprechend müßte dort, wenn die Einstellung von einer anderen GPO überschrieben würde, diese dort nach meinem Verständnis ebenfalls zu finden sein.
Und nein, keine Fehler in der Ereignisanzeige. Stehe vor einem bislang unlösbarem Rätsel.
Grüße, Thomas
nein, da sind sie drin. Und auch, von welcher GPO sie kommen. Dementsprechend müßte dort, wenn die Einstellung von einer anderen GPO überschrieben würde, diese dort nach meinem Verständnis ebenfalls zu finden sein.
Und nein, keine Fehler in der Ereignisanzeige. Stehe vor einem bislang unlösbarem Rätsel.
Grüße, Thomas
hab noch ein paar Tests gemacht.
Wir haben wie gesagt den Stand, daß ich per GPO an den IE der User in vertrauenswürdige Sites ein paar Sites eintragen möchte. Das funktioniert auf W7 PCs auch ohne Probleme aber auf Terminalservern (gleiche IE Version) nicht.
Nun habe ich die betreffende GPO mal komplett deaktiviert um zu schauen, was passiert. Wie erwartet ist auf der Terminalsitzung im IE nun diese Option für den User manuell editierbar - also nicht mehr ausgegraut. Dann habe ich zum Test mal eine nagelneue GPO gebaut, in der ich nur einen Eintrag in die vertrauenswürdigen Sites eintrage, um auszuschlie0en, daß die vorherige GPO irgendwie kaputt ist und diese mit der OU der Terminalserver gebunden.
Wie erwartet zieht diese insofern, daß für den User die betreffende Option im IE wieder ausgegraut wird. Der gewünschte Eintrag jedoch wird nicht gesetzt. So habe ich langsam den Verdacht, daß ich per GPO auf diese Weise zwar auf Clients mit IE diese Einstellungen verteilen kann aber auf Servern mit IE eben nicht. Irgendwie scheint diesbezüglich ein IE auf Servern anders zu reagieren.
Was meint ihr?
Grüße, Thomas
Wir haben wie gesagt den Stand, daß ich per GPO an den IE der User in vertrauenswürdige Sites ein paar Sites eintragen möchte. Das funktioniert auf W7 PCs auch ohne Probleme aber auf Terminalservern (gleiche IE Version) nicht.
Nun habe ich die betreffende GPO mal komplett deaktiviert um zu schauen, was passiert. Wie erwartet ist auf der Terminalsitzung im IE nun diese Option für den User manuell editierbar - also nicht mehr ausgegraut. Dann habe ich zum Test mal eine nagelneue GPO gebaut, in der ich nur einen Eintrag in die vertrauenswürdigen Sites eintrage, um auszuschlie0en, daß die vorherige GPO irgendwie kaputt ist und diese mit der OU der Terminalserver gebunden.
Wie erwartet zieht diese insofern, daß für den User die betreffende Option im IE wieder ausgegraut wird. Der gewünschte Eintrag jedoch wird nicht gesetzt. So habe ich langsam den Verdacht, daß ich per GPO auf diese Weise zwar auf Clients mit IE diese Einstellungen verteilen kann aber auf Servern mit IE eben nicht. Irgendwie scheint diesbezüglich ein IE auf Servern anders zu reagieren.
Was meint ihr?
Grüße, Thomas
Hallo Thomas,
Wir haben solch eine Gruppenrichtlinie ebenfalls im Einsatz. Allerdings haben wir ausschließlich Server 2012 als RDS-Hosts. Aber ich bin mir gerade nicht sicher ob als Computer oder Benutzerebene. Kann leider nicht nachschauen, da ich im Flieger sitze.
Gruß,
Dani
Wir haben solch eine Gruppenrichtlinie ebenfalls im Einsatz. Allerdings haben wir ausschließlich Server 2012 als RDS-Hosts. Aber ich bin mir gerade nicht sicher ob als Computer oder Benutzerebene. Kann leider nicht nachschauen, da ich im Flieger sitze.
Gruß,
Dani
Salve,
auf Computerebene möchte ich das nicht gerne machen. Da würde mir die Flexibilität fehlen, graduell unterschiedliche Zuweisungen einfach zu machen.
Ich habe noch ein wenig rumgekämpft, Tante Google intensiv befragt aber leider keine Lösung erhalten. So wie es gehen müßte, geht es nicht und Fehlermeldungen gibt es wie gesagt auch nicht. Mein Verdacht wäre, daß irgendeine Patchkonstallation IE/W2008 Server (vielleicht auch Citrix), dafür sorgt, daß der übliche Weg nicht funktioniert.
Daher habe ich, nachdem ich die GPO deaktivierte auf einem Terminalserver die Einträge manuell gesetzt und die Registryänderungen ausgelesen. Der Pfad wäre HCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
Dort und in folgenden Pfaden spielt sich alles ab.
Die benötigten Keys verteile ich nun per GPO und so funktioniert es.
Grüße, Thomas
auf Computerebene möchte ich das nicht gerne machen. Da würde mir die Flexibilität fehlen, graduell unterschiedliche Zuweisungen einfach zu machen.
Ich habe noch ein wenig rumgekämpft, Tante Google intensiv befragt aber leider keine Lösung erhalten. So wie es gehen müßte, geht es nicht und Fehlermeldungen gibt es wie gesagt auch nicht. Mein Verdacht wäre, daß irgendeine Patchkonstallation IE/W2008 Server (vielleicht auch Citrix), dafür sorgt, daß der übliche Weg nicht funktioniert.
Daher habe ich, nachdem ich die GPO deaktivierte auf einem Terminalserver die Einträge manuell gesetzt und die Registryänderungen ausgelesen. Der Pfad wäre HCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
Dort und in folgenden Pfaden spielt sich alles ab.
Die benötigten Keys verteile ich nun per GPO und so funktioniert es.
Grüße, Thomas
