Hallo Zusammen
Wir möchten wenn der User im Intranet eine Dokument heruntergeladen wird nicht diese Sicherheitsüberprüfung gemacht wird.
Wir haben im IE11 schon unter Internetoptionen/Sicherheit/Lokales Intranet/Stufe anpassen/
Haben wir den SmartScreen-Filter Verwenden deaktiviert. Doch die Überprüfung kommt immer noch. Kann mir jemand eine Tipp
geben.
Merci Yogi
Hallo,
eine neu eingerichtete Gruppenrichtlinie (Bildschirmschoner aktivieren Bild bs1 ) zieht nicht auf den Clients. Die Gruppenrichtlinie habe ich neu erstellt, ebenso eine neue OU (computer Test ) erstellt, 4 Clients dort hinzugefügt zum Test. Was man folgend auf den begefügten Bildern alles erkennen kann:
vllt kann jemand weiter helfen, vielen Dank
Gruß Wolf
Hi Community,
ich habe auf einem 2008 R2 Terminalserver folgende Fehlermeldung mehrmals täglich, wobei es immer zwei Verknüpfungen betrifft: RecentPlaces.lnk und Desktop.lnk.
Protokollname: Application
Quelle: Group Policy Files
Datum: 02.06.2016 09:40:33
Ereignis-ID: 4098
Aufgabenkategorie:(2)
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: SYSTEM
Computer: NAMAKA3.DOMAIN.local
Beschreibung:
Das Benutzer "RecentPlaces.lnk"-Einstellungselement im Gruppenrichtlinienobjekt "RDS-Secure {87478AFA-53DD-4A5E-BF03-4AD6949AAEDC}" wurde nicht übernommen, da ein Fehler mit Fehlercode "0x80070002 Das System kann die angegebene Datei nicht finden." Dieser Fehler wurde unterdrückt. aufgetreten ist.
Das Richtlinienobjekt RDS-Secure ist ein Domänencontroller gehostetes GPO mit diversen Einstellungen den Terminal Server betreffend. Ein Abschnitt betrifft die beiden oben genannten Verknüpfungen, wobei ich jetzt ad hoc nicht mehr weiß, warum ich die damals konfiguriert habe:
Das Ziel dieser beiden Einstellungen wäre eigentlich die Favoriten im Benutzerverzeichnis der Terminal Server Benutzer nur auf die Downloads zu beschränken. Ich vermute, dass die Fehlermeldung durch den Versuch erzeugt wird, ein bereits nicht mehr vorhandenes Objekt zu löschen. Immer wieder. Ich gehe davon aus, dass ich den Fehler wahrscheinlich ignorieren kann aber gibt es nicht vielleicht doch eine Einstellungen, die nur dann das Objekt versucht zu löschen, solange es da ist und danach dann nicht mehr...?
Thx & Bye Tom
Hallo,
wir versuchen uns gerade daran in einer 2012 R2 RDS Farm Power Point für bestimmte Nutzer zu deaktivieren.
Hierzu bedienen wir uns der Möglichkeit der Softwareeinschränkung.
Alles funktioniert wie gewünscht.
Nur 2 Fragen, die sich uns auftun:
1. Frage: wie verlinke ich die GPO am Besten auf die OU's ohne alle User damit zu treffen? Wir haben eine OU, in der mehrere User inne sind. Nun befinden sich in dieser Gruppe 7 User, die dieses Programm nicht nutzen sollen. Unsere Idee (sehr unsauber) eine untergeordnete OU anlegen, die 7 User dort hin verschieben und die neue GPO nur auf diese OU verlinken. Die bereits vorhandenen GPO's auf den übergeordneten OU's werden ja nach unten vererbt. Wir finden diese Lösung nicht wirklich elegant und stellen uns die Frage, ob wir das eher mit einem WMI Filter oder der Zielgruppenadressierung lösen können. Hat Jemand Erfahrungen in diesem Bereich oder ist unser Lösungsansatz der richtige Weg?
2. Frage: Power Point wurde nun deaktiviert und kann unter dem User nicht mehr gestartet werden. Wenn zu diesem Zeitpunkt unter dem Benutzerprofil für ppt Dateien MS Power Point noch als Standard gesetzt war und der User die Datei öffnen möchte, dann gibts die Meldung, dass das Programm nicht ausgeführt werden darf. Gibt es hier eine Möglichkeit per GPO dafür ein Alternativprogramm zu starten wie bspw. Presentations? Oder muss der User einmal "öffnen mit" auswählen und das entsprechende Standardprogramm damit neu setzen?
Hallo
Ich müsste für alle Windows 10 User den Internet Explorer 11 als Default Browser definieren. Gibt es eine GPO oder einen Regedit Key wo man setzten kann.
Merci
Gruess Yogi
Hallo,
wir haben bei uns eine RDS Farm mit 10 Server 2012 R2 RDS Session Hosts. Der Session Broker dieser Farm dient in unserer Umgebung gleichzeitig als Druckserver. Die auf dem Druckserver installierten Drucker werden auf den RDS Hosts per GPO bereitgestellt.
Nun haben wir bei einigen Usern das Problem, das einer der Drucker bei diesen doppelt angezeigt wird. Dieses Phänomen tritt bei unterschiedlichen Usern auf unterschiedlichen Servern auf
Dazu stellen sich uns jetzt zwei Fragen:
1. Die Drucker werden vom Druckserver aus direkt zur GPO hinzugefügt. Wieso sind diese Einstellungen im Editor nicht sichtbar? Der Pfad Computerkonfiguration\Richtlinien\Windows-Einstellungen\Druckerverbindungen wird nicht angezeigt. In der Übersicht sind diese Einstellungen aber sichtbar.
2. Wieso wird ein Drucker bei verschiedenen Usern doppelt angezeigt? Es handelt sich immer um den gleichen Drucker, der mit der gleichen GPO bereitgestellt wird. Einzelne User sehen diesen auf einzelnen Servern doppelt. Wenn sich diese User auf einem anderen Server der Farm anmelden taucht der Drucker normal auf und wird nicht doppelt angezeigt.
Folgendes Problem.
Ich habe für eine neue 2012R2 RDS Umgebung die Sitzungszeitlimits via GPO festgelegt. Dort habe ich aber anfangs, fehlerhaft die Einstellung "Zeitlimit für aktive Remotedesktopdienste-Sitzungen festlegen" gewählt. Sollte natürlich für inaktive Sitzungen sein. Dies habe ich berichtigt. Allerdings werden die Sitzungen weiterhin nach 2 Std. getrennt, auch bei aktivität. Der Server wurde neu gestartet. Auch testwiese die "Computers" OU verschoben wo keine GPO verknüpft ist, mit Neustart, und dann wieder in die ursprüngliche OU verschoben. Alles ohne den gewünschten Erfolg.
In der Registry ist der Wert MaxIdleTime gesetzt. Gibt es für inaktive Sitzungen ggf. noch einen anderen Wert, welcher gesetzt sein sollte?
Danke schon im Voraus für Input
Hallo zusammen,
Ich möchte im Navigationsbereich des Datei Explorers den Knoten Netzwerk so einrichten das keine User darauf zugreifen können.
Hallo allerseits,
gestern war Patchday, wo Microsoft u.a. diverse Patches veröffentlicht hat, die Sicherheitslücken bzgl. dem Login und dem Start von Programmen etc. schließen sollen.
Leider führt das bei uns dazu, dass auf unserem Terminalserver (2K8R2) das für bestimmte Benutzer per Gruppenrichtlinien zu startende Programm beim Login nicht mehr ausgeführt wird und nur der Desktop angezeigt wird.
Ich habe die "verdächtigen" Updates wieder deinstalliert und der Start des Programms funktioniert wieder.
(kb3164035, kb3164033, kb3161958, kb3161949, kb3161664, kb3161561, kb3159398)
In Zeiten von Locky und u.ä. würde ich die Patches schon gerne einspielen.
Gibt es schon weitere Infos dazu ? Jemand eine Idee ? Oder warten auf den hoffentlich irgendwann kommenden Hotfix ?
Grüße
Moin
Ich habe hier einen AD-Forest mit 2 Domänen in einer Windows 2008 R2 DC Umgebung. Es gibt eine Vielzahl an GPO's welche für Windows 7 entwickelt wurden. Einzelne GPO's stammen noch aus Win2003 Zeiten.
Ich würde gerne die Windows 10 ADMX Dateien einspielen und habe leider keine (mir 100% verlässliche) technische Beschreibung dazu gefunden. Daher die Fragen ans Forum:
Was gibt es zu beachten und was sollte man testen?
Besten Dank & Grüsse
florian
Hallo,
ich habe keinen Zugriff im eigene Profil auf z. B. AppData, Downloads usw.
Es kommt die Meldung "Der Vorgang wurde aufgrund von aktuellen Beschränkungen abgebrochen".
Irgendeine GPO hakt da noch zwischen.
Welche könnte das sein?
Danke
Dennis
Hallo,
mit dem Patchday Juni 2016 hat Microsoft die Verabeitung von sicherheitsgefilterten Benutzer-GPOs geändert. Die Änderung kann durchaus unerwünschte Folgen zeigen und einiges an Troubleshootingaufwand verursachen. Betroffen sind alle derzeit noch im Support
befindlichen Windows Versionen (Windows Vista-Windows 10 und die jeweiligen Serverversionen).
Es gibt inzwischen einige Blogeinträge, die das ausführlich erklären und auch Lösungswege aufzeigen.
http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/
https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior/
https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/
Bye
Norbert
Chris
Hallo
Ich muss in einer GPO einen Registry-Key anpassen. Das Skript funktioniert lokal auf einem Client einwandfrei und ist unblocked. Starte ich das Skript über den Pfad
\\domain.local\sysvol\domain.local\policies\{1234...}\User\Scripts\Logon erscheint folgende Meldung:
Sicherheitswarnung Führen Sie ausschließlich vertrauenswürdige Skripts aus. Skripts aus dem Internet können zwar nützlich sein, stellen
jedoch auch eine potenzielle Gefahr für Ihren Computer dar. Wenn Sie diesem Skript vertrauen, lassen Sie mit dem Cmdlet
"Unblock-File" die Ausführung des Skripts ohne die Warnmeldung zu. Möchten Sie
\\domain.local\sysvol\domain.local\policies\{1234...}\User\Scripts\Logon\Set-ZScalerToRegistry_Test.ps1" ausführen?
[N] Nicht ausführen [M] Einmal ausführen [H] Anhalten [?] Hilfe (Standard ist "N").
Die executionpolicy auf dem Client sie so aus:
Scope ExecutionPolicy
----- ---------------
MachinePolicy Unrestricted
UserPolicy Unrestricted
Process Unrestricted
CurrentUser Unrestricted
LocalMachine Unrestricted
Wie kann ich das Problem lösen?
Danke für deine Unterstützung
Gruss Miller
Hallo zusammen,
ich möchte erreichen das einzelne Nutzer bei der Anmeldung an einen Client der Domäne lokale Administrator Berechtigung erhalten.
Link zum Bild: bit.ly/29frcXM
Kann mich hier wer Unterstützen und/oder hat eine Idee was ich falsch mache?
Grüße
Florian
Liebe Community,
liebes Microsoft Team,
wir setzen in unserem Unternehmen einen Windows Server 2012R2 mit Active Directory ein und als Clients Windows 10 Enterprise.
Nun habe ich auf jedem Client das Problem, dass gewisse Apps wie Rechner, Fotoanzeige und der Store nicht funktionieren. Beim Rechner und der Fotoanzeige kommt beispielsweise die Meldung, dass die App durch den Administrator gesperrt ist und beim Store passiert gar nichts. Ganz kurz geht der auf und verschwindet dann auch gleich wieder nach nicht mal einer Sekunde.
Am Windows Server habe ich die neuesten Vorlagen für Windows 10 heruntergeladen und installiert. Es ist eingestellt, dass alle Store-Apps sowie auch der Store selbst zugelassen werden und auch den AppLocker habe ich schon eingestellt indem ich die Standardrichtlinien aktiviert habe. Leider alles ohne erfolg. Die einzige App die aufgeht ist der Edge Browser, aber sonst nichts.
Gibt es sonst wo noch eine Einstellung in der Gruppenrichtlinie um diese Apps freizugeben?
Ich habe schon einiges was ich darüber im Internet gefunden habe versucht. Merkwürde ich nur, dass das ganze im zweiten Unternehmen wo wir das gleiche Netzwerk aufgebaut haben, alles funktioniert. Die Einstellungen unterscheiden sich dort aber in keiner weise.
LG, Erich Pendl
Nach vielen Versuchen und Ausprobieren fand ich eine Möglichkeit mit dem Kommandozeilentool mklink symbolische Verknüpfungen dem Computer Objekt im Windows Explorer von Windows 7 Clients bereitzustellen.
Tolle Sache, diese tauchen dann neben den Laufwerksverknüpfungen auf.
In Navigationsbereich und in Detailbereich des Windows 7 Explorers.
Über GPP hatte ich es nicht geschafft, funktioniert nur mit klassischen Verknüpfungen, und diese werden dann
nur im Detailbereich des Explorers angezeigt, wenn das Computer Objekt den Focus hat, Fehlanzeige im Navigationsbereich!
Dazu erzeugt man den Symbolic Link unter "%AppData%\Roaming\Microsoft\Windows\Network Shortcuts".
Das funktioniert einwandfrei und kann über eine Gruppenrichtlinie per cmd oder vbs schön ausgeführt werden. Leider habe ich bisher keine Möglichkeit gefunden die Icons der erstellten Links per Skript zu verändern, das geht weder mit xxmklink, noch
VbScript (CreateShortcut erkennt Symbilic Links nicht), sondern nur manuell. Per Default wird das wenig sagende Ordner Symbol erzeugt. Wie kann man automatisiert Icons von Symbolic Links anpassen. Gibt es eine entsprechende Möglichkeit?
Hallo,
seit KB3159398 hat sich ja ein bischen was geändert.
Wir haben eine neune Gruppenrichtlinie in einer OU angelegt, in der sich in der AD alle Domänenbenutzer befinden.
Unter Delegierung haben wir die "authentifizierten Benutzer" gelöscht und die "Domänencomputer" hinzugefügt. Die dürfen nur Lesen. Im Sicherheitsfilter habe ich eine Benutzergruppe hinzugefügt, welche ja dann automatisch das Recht "Lesen"
und "Gruppenrichtlinie übernehmen" bekommt. In dieser Benutzergruppe befindet sich ein User. In der Gruppenrichtlinie ist nur ein Abmeldescript hinterlegt, sonst nichts.
Führt der User ein gpupdate aus, wird dem User die Gruppenrichtlinie verweigert (Meldung: Filterung: Verweigert (Sicherheit). Füge ich den User direkt in die den Sicherheitseinstellungen ein, bekommt er diese Gruppenrichtlinie.
Ob ich die Benutzer oder Gruppe über die Sicherheitsfilter oder im Register Delegierung anlege hat nichts geändert.
Wo könnte hier das Problem sein? Die Gruppe ist in der gleichen OU angelegt, wie die Benutzer (Einstellungen: Gruppenbereich=Global, Gruppentyp=Sicherheit).
Danke für jede Hilfe!
Server: Win 2008R2, Client: Win 10