infostabil > edb.system.* > edb.system.ms-windows.server

Staun (02.01.2006, 17:16)
Jeg har lidt problemer med at få tilføjet trusted sites via GPO. Indtil
videre har jeg lavet en GPO, med en site under trusted sites. Denne er
linket til en OU. Men den får ikke virkning på XP (SP2) klienten.

Hvis jeg laver en GPresult på klienten, så viser den godt nok at min GPO er
kørt på brugeren, men den er bare ikke under trusted sites i Internet
Explorer.

Hvad har jeg misset.
Lars Kim Lund (02.01.2006, 22:54)
"Staun" <js> wrote:

>Jeg har lidt problemer med at få tilføjet trusted sites via GPO. Indtil
>videre har jeg lavet en GPO, med en site under trusted sites. Denne er
>linket til en OU. Men den får ikke virkning på XP (SP2) klienten.
>Hvis jeg laver en GPresult på klienten, så viser den godt nok at min GPO er
>kørt på brugeren, men den er bare ikke under trusted sites i Internet
>Explorer.
>Hvad har jeg misset.


Er brugeren i den OU du har linket GPO til og har den rettigheder til
read|apply?

Har du sat trusted site under computer eller user delen i GPO. Husk at
det skal være i user hvis det er på et bruger-objekt.

Hvis du har en GPO på din maskine kan den muligvis overstyre din
bruger GPO med loopback processing.

Og i øvrigt synes jeg personligt det er lettere at vedligeholde
zonerne via logon-scripts. Men det er nok en smagssag.
Staun (03.01.2006, 10:25)
<snip>

> Er brugeren i den OU du har linket GPO til og har den rettigheder til
> read|apply?
> Har du sat trusted site under computer eller user delen i GPO. Husk at
> det skal være i user hvis det er på et bruger-objekt.
> Hvis du har en GPO på din maskine kan den muligvis overstyre din
> bruger GPO med loopback processing.
> Og i øvrigt synes jeg personligt det er lettere at vedligeholde
> zonerne via logon-scripts. Men det er nok en smagssag.
> --
> Lars Kim Lund
> [..]


Ja, brugeren er i OU'en - den viser også via gpresult, at GPO'en er applied.

Den er sat under Userdelen i GPOen

Umiddelbart kan jeg ikke se at en GPO overstyrer - Hvis jeg laver en Group
Policy Result i GPMC'en, syntes jeg ikke at kunne se en GPO, der kører på
maskinen.

Som en nødløsning kunne jeg måske godt bruge en script-løsning. Jeg anvender
VBS til login. Kunne jeg evt. "låne" et eksempel fra dig. så jeg kan se
hvordan jeg kommer igang.

Tak for hjælpen indtil videre.

Jørgen
Staun (03.01.2006, 11:10)
> Og i øvrigt synes jeg personligt det er lettere at vedligeholde
>> zonerne via logon-scripts. Men det er nok en smagssag.


> Som en nødløsning kunne jeg måske godt bruge en script-løsning. Jeg
> anvender VBS til login. Kunne jeg evt. "låne" et eksempel fra dig. så jeg
> kan se hvordan jeg kommer igang.


Fandt noget her jeg kunne bruge,

On Error Resume Next

Const HKEY_CURRENT_USER = &H80000001

strComputer = "."
Set objReg = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}\\" & strComputer & _
"\root\default:StdRegProv")

strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Interne t Settings\"
_
& "ZoneMap\Domains\domænenavn\servernavn"
objReg.CreateKey HKEY_CURRENT_USER,strKeyPath
strValueName = "*"
dwValue = 1
objReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName,dwValue
Lars Kim Lund (03.01.2006, 18:35)
"Staun" <js> wrote:

[..]
> & "{impersonationLevel=impersonate}\" & strComputer & _
> "\root\default:StdRegProv")
>strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Interne t Settings\"
>_
> & "ZoneMap\Domains\domænenavn\servernavn"
>objReg.CreateKey HKEY_CURRENT_USER,strKeyPath
>strValueName = "*"
>dwValue = 1
>objReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName,dwValue


Mja, jeg kender ikke så meget til vbs, men jeg synes ovenst. ser lidt
omstændigt ud. Men meningen er at du skal "hacke" lidt registry.

Under denne gren

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet
Settings\ZoneMap\Domains

Oprettes nøgler med navnet på domænet.
Under dem oprettes servere og klassen.
F.eks * == dword:2 for *.domain == trusted
eller dword:4 hvis du ønsker det skal være restricted.

Jeg ville foreslå du laver en INI-fil du fodrer scriptet med, så du
har en let måde at administrere det. Og dernæst laver du et script der

1) Sletter alt under .\Domains
2) Læser input-filen og tilpasser registry

Zonernes indstillinger defineres under:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet
Settings\Zones

Jeg finder det lettest at definere en master og lave en reg export af
den.

Fordelen ved at scripte det er at man gør sig uafh. af OS. F.eks.
virker det også på Win9x. Det næste er at måden man redigerer
browser-indstillingerne i GPO er noget omstændigt efter min mening.

SÅ jeg ville som sagt scripte det og forhindre brugerne i at ændre det
via en GPO.
Lignende emner