Archiv der Kategorie 'GPO'



Dez 30

GPO Proxy Settings über Computerobjekte steuern

Active Directory, GPO, Security, Windows No Comments »

Normal werden die Proxysettings über User Configurations gesteuert. Dies kann z.B mit den Explorer Maintenance Policy erfolgen.
Es kann aber durchaus nützlich sein, dass die Settings der Proxyeinstellungen über Computer Configurations (Computer Objekt) gesteuert werden können. So können z.B mit OUs Desktops und Notebooks unterschieden und entsprechend über die GPO anders konfiguriert werden.

Damit dies möglich ist, muss die Policy “Make proxy settings per-machine (rather than per-user) aktiviert werden. Diese ist unter Computer Configuration/Administrativ Templates/Windows Components/Internet Explorer zu finden.

Die Settings selbst können nach wie vor im Explorer Maintenance Objekt zentral über den User konfiguriert werden. Es wird keine doppelte Pflege der Settings nötig.



Dez 30

Explorer Maintenance Policies bei jedem Boot neu laden

GPO, Security, Windows No Comments »

Die Internet Explorer Maintenance Group wird von den Clients als Template angeschaut und somit nur beim ersten Login des User gezogen (und natürlich bei jeder Änderung von dem GPO)
Werden nun Änderungen von den Usern durchgeführt (Proxy, Trusted Sites, local Sites, Startpage, IE-Settings etc…), stimmen danach die Parameter nicht mehr und werden bis zu einer Änderung der Explorer Maintenance GPO auch nicht mehr gesetzt.

Dies kann mittels der Policy “Internet Explorer Maintenance Policy Processing” unter Computer Configuration\Administrative Templates\System\Group Policy umgangen werden, damit das Template bei jedem Boot neu geladen wird. Zusätzlich ist noch SlowLink Detection und Background Processing einstellbar.

Weitere Infos:
http://support.microsoft.com/kb/306915/en-us



Okt 13

Berechtigungen beim verschieben von Files übernehmen

GPO, Security, Windows No Comments »

Werden unter Windows Files verschoben, werden die Berechtigungen bekanntlich nicht neu gesetzt im neuen Ordner, sondern bleiben bestehen. Dies hat natürlich seine Vor- und Nachteile.

Will man dies umgehen, dass Files automatisch die neuen Berechtigunen des neuen Ordners übernehmen sollen, kann dies mit einer kleine Anpassung in der Registry erfolgen. Dies muss auf sämtlichen Clients eingetragen werden, bei welchen dies gewünscht wird.

  1. Click Start, click Run, type regedit, and then press ENTER.
  2. Locate and then click the following registry subkey:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
  3. On the Edit menu, click Add Value, and then add the following registry value:

    Value name: MoveSecurityAttributes
    Data type: DWORD
    Value data: 0

  4. Exit Registry Editor.
  5. Make sure that the user account that is used to move the object has the Change Permissions permission set. If the permission is not set, grant the Change Permissions permission to the user account.

Um den Key über GPO verteilen zu können, kann dies mittels einem ADM File durchgeführt werden.

CLASS MACHINE
	CATEGORY "RegKeySettings"
		POLICY "Moving Files"
			EXPLAIN "Get parent rights when moving files - Enable = get rights from partent folder"
			KEYNAME "SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer"
			PART "MoveSecurityAttributes" NUMERIC
				VALUENAME "MoveSecurityAttributes"
				MIN 0
				MAX 1
				DEFAULT 0
			END PART
		END POLICY

Link:
http://support.microsoft.com/kb/310316/en-us

Sep 08

This page has an unspecified potential security risk

Active Directory, GPO, Security, Windows No Comments »

Werden Files mit XP/Vista aus einem Share kopiert, erscheint die IE Sicherheitswarnung:

This page has an unspecified potential security risk. Would you like to continue?

popup_sec_msg

Die tritt auf, weil das OS mein, dass das Netzlaufwerk sich in der Internet und nicht mehr in der Intranetzone befindet. Dieser Effekt tritt vorallem dann auf, wenn über ein DFS Namespace, welcher ein Domainnamen abbildet, verbunden wird.

Mit folgender Anpassung kann dies umgangen werden:

Control Panel > Internet Options > Security.
Select Local intranet > click Sites > Advanced.
Type your server name / DFS Namespace into the textbox (e.g. If the server is called FileServer just type FileServer) and click Add.
Click Close > OK > OK.

Über die GPO kann der Eintrag wie folgt geändert werden:
User Configuration -> Administrative Templates -> Internet Explorer -> Security Page -> Site to Zone Assignment List

Aug 07

ADM Files erstellen und über GPO verteilen

Active Directory, GPO, Scripts, Windows No Comments »

Generelle Struktur von ADM Files:

adm

Alle verschiedenen Syntaxe um das Template zusammenbauen zu können, sind via Google leicht auffindbar.
http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1176.htm

Im Zusammenhang mit dem RegKey für langsame Netzlaufwerkverbindungen sieht das ADM File wie folgt aus:

CLASS MACHINE
   CATEGORY "Serverexclude Novell Client"
      POLICY "BadServer Settings"
          EXPLAIN "For fast connection to MS Server"
          KEYNAME "SYSTEM\CurrentControlSet\Services\NetwareWorkstation\Parameters"
             PART "Modify your Serverlist here:" TEXT
	     END PART
             PART "ServerListe:"
                EDITTEXT
                DEFAULT "DFS-Einstiegspunkt oder Servernamen"
                VALUENAME "BadServer"
                EXPANDABLETEXT
             END PART
         END POLICY
    END CATEGORY

Nach dem Import in die Policy, kann der Regkey bequem via GPO verteilt werden.

Wichtig: Damit das eigenständig erstellte ADM File überhaupt im GrouppolicyEditor erscheint muss unter Ansicht -> Filterung -> „Haken“ entfernen bei => Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen duchgeführt werden!

Links:
http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_ADM_Template.htm