Probleme bei GPO Übernahme
Hallo zusammen,
ich habe bei folgendem Szenario ein Problem:
Wir haben unseren Domänencontroller von 2003 per InPlaceUpdate auf 2008 aktualisiert. Soweit keine Probleme!
Jetzt möchten wir Proxyeinstellungen per GPO verteilen. Also neue GPO erstellt mit den nötigen Einstellungen und mit der Domäne verknüpft.
Wir haben als Clients XP, Vista und Windows 7. Lokale Richtlinien gibt es bei uns nicht.
Wenn ich mich nun als odinärer User an einem Client anmelde, bekomme ich die Settings!
Jetzt zu meinem Problem:
Wenn ich die Proxyeinstellungen manuell ändere, bekomme ich die Einstellungen nicht mehr von der GPO überschrieben.
Weiß jemand, warum das so ist oder wie ich es erreiche, dass IMMER die GPO ziehen soll.
MfG BtodaR
ich habe bei folgendem Szenario ein Problem:
Wir haben unseren Domänencontroller von 2003 per InPlaceUpdate auf 2008 aktualisiert. Soweit keine Probleme!
Jetzt möchten wir Proxyeinstellungen per GPO verteilen. Also neue GPO erstellt mit den nötigen Einstellungen und mit der Domäne verknüpft.
Wir haben als Clients XP, Vista und Windows 7. Lokale Richtlinien gibt es bei uns nicht.
Wenn ich mich nun als odinärer User an einem Client anmelde, bekomme ich die Settings!
Jetzt zu meinem Problem:
Wenn ich die Proxyeinstellungen manuell ändere, bekomme ich die Einstellungen nicht mehr von der GPO überschrieben.
Weiß jemand, warum das so ist oder wie ich es erreiche, dass IMMER die GPO ziehen soll.
MfG BtodaR
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127999
Url: https://administrator.de/forum/probleme-bei-gpo-uebernahme-127999.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
10 Kommentare
Neuester Kommentar
Ich kenn die Situation jetzt nur von 2003 aus der Firma, wir haben ein ähnliches Problem gehabt, ist aber im Prinzip dasselbe.
Gibt 2 Möglichkeiten:
1. Per lokaler Sicherheitsrichtlinie allen Benutzern den Zugriff auf Proxsyeinstellungen sperren und die Proxyeinstellungen dann per GPO festlegen. Diese Variante hat den Nachteil, daß man auch als Admin erst die lokale Sicherheitsrichtlinie umbauen muss, um an die Proxyeinstellungen zu kommen, wenn man mal was testen will. Dafür hat sie den Vorteil, daß lokale Anmeldungen auch keinen Zugriff auf die Proxyeinstellungen haben und somit deinen Proxy nicht umgehen können. So haben wir es in der Firma geregelt.
(Computer-adminvorlagen-Windowskomponenten-Internetsystemsteuerung-VERBINDUNGSSEITE DEAKTIVIEREN) oder (Computer-adminvorlagen-Windowskomponenten-Internet Explorer-Änderung der Proxyeinstellung deaktivieren).
2. Zugriff auf Proxyeinstellungen und Proxydaten selber per GPO festsetzen. Alles kommt direkt von der Domäne und man muss nicht an jeden Rechner einzeln ran. Hat dafür den Nachteil, daß die Einstellungen dann nicht für lokale Anmeldungen gelten und die trotzdem weiter ändern können.
Hoffe das war was du wolltest,
Grüsse,
Gibt 2 Möglichkeiten:
1. Per lokaler Sicherheitsrichtlinie allen Benutzern den Zugriff auf Proxsyeinstellungen sperren und die Proxyeinstellungen dann per GPO festlegen. Diese Variante hat den Nachteil, daß man auch als Admin erst die lokale Sicherheitsrichtlinie umbauen muss, um an die Proxyeinstellungen zu kommen, wenn man mal was testen will. Dafür hat sie den Vorteil, daß lokale Anmeldungen auch keinen Zugriff auf die Proxyeinstellungen haben und somit deinen Proxy nicht umgehen können. So haben wir es in der Firma geregelt.
(Computer-adminvorlagen-Windowskomponenten-Internetsystemsteuerung-VERBINDUNGSSEITE DEAKTIVIEREN) oder (Computer-adminvorlagen-Windowskomponenten-Internet Explorer-Änderung der Proxyeinstellung deaktivieren).
2. Zugriff auf Proxyeinstellungen und Proxydaten selber per GPO festsetzen. Alles kommt direkt von der Domäne und man muss nicht an jeden Rechner einzeln ran. Hat dafür den Nachteil, daß die Einstellungen dann nicht für lokale Anmeldungen gelten und die trotzdem weiter ändern können.
Hoffe das war was du wolltest,
Grüsse,
Hallo BtodaR,
kurze Nachfrage: Du hast also eine GPO für die User eine OU mit den Proxy-Einstellungen erstellt. Quasi unter
Benutzerkonfiguration/Windows-Einstellungen/Internet Explorer-Wartung/Verbindung/Automatische Browserkonfiguration?
Und die User können diese Einstellung dann noch ändern?
mfg
heiko
kurze Nachfrage: Du hast also eine GPO für die User eine OU mit den Proxy-Einstellungen erstellt. Quasi unter
Benutzerkonfiguration/Windows-Einstellungen/Internet Explorer-Wartung/Verbindung/Automatische Browserkonfiguration?
Und die User können diese Einstellung dann noch ändern?
mfg
heiko
Hatten wir in ähnlicher Form kürzlich hier schon mal. Die Suche hätte dir das bestimmt auch geliefert.
In dieser Antwort habe ich ausführlich erklärt, warum das GPO nicht nochmal angewandt wird und was du dagegen tun kannst. Lesen bildet...
Wer's von den Benutzern, aus welchem Grund auch immer, in die eine Richtung umstellen kann wird in der Lage sein es auch wieder in die richtige Richtung umzustellen würde ich mal behaupten.
Es geht wahrscheinlich darum, dass die User zu Hause surfen wollen und da der interne Proxy nicht vorhanden ist. Erstens halte ich das grundsätzlich mal für ein latentes Sicherheitsrisiko und zweitens könntest du das automatisieren. Aber auch dazu brauchst du entweder ein passendes (Kix-)Script oder ein entsprechendes Tool.
Ausgehend von der grundsätzlichen Möglichkeit, dass die Clients im Firmen-LAN in einem anderen Subnet arbeiten könntest du die zugeteilte (DHCP?) IP abfragen und je nach Ergebnis den Proxy entsprechend setzen.
Es geht wahrscheinlich darum, dass die User zu Hause surfen wollen und da der interne Proxy nicht vorhanden ist. Erstens halte ich das grundsätzlich mal für ein latentes Sicherheitsrisiko und zweitens könntest du das automatisieren. Aber auch dazu brauchst du entweder ein passendes (Kix-)Script oder ein entsprechendes Tool.
Ausgehend von der grundsätzlichen Möglichkeit, dass die Clients im Firmen-LAN in einem anderen Subnet arbeiten könntest du die zugeteilte (DHCP?) IP abfragen und je nach Ergebnis den Proxy entsprechend setzen.
@RedRabbit
... Hat dafür den Nachteil, daß die Einstellungen dann nicht für lokale Anmeldungen gelten und die trotzdem weiter ändern können.
Das ist ein Missverständnis. Du schreibst von einer computerobjektbasierten Policy - die sind nicht userabhängig und gelten natürlich auch bei lokaler Anmeldung.