Archiv der Kategorie: Group Policies

Excel–Öffnen in geschützter Ansicht

Veröffentlicht am von
Antwort

Nach einer Migration des Servers in eine DFS-Struktur, meldete sich Excel (aber auch andere Office Programme) mit der Meldung das Dateien nur in der “geschützten Ansicht” geöffnet werden können.

image

Der Hinweis rührt daher, dass sich der Name des Servers, der die Dateien bereitstellt geändert hat und die Office Anwendungen diesen nicht mehr als vertrauenswürdig einstufen.

Während der bisherige Zugriff über \\server\freigabe seit Jahren problemlos funktioniert hat, kommt beim Zugriff über \\dfs-fqdn\dfs\freigabe die oben gezeigte Meldung.

Beheben lässt sich das Problem an mehreren Stellen, am einfachsten aber über eine GPO welche dfs-fqdn als vertrauenswürdig einstuft.

image

In die Site to Zone Assignment List kann man mehrere Werte, IP-Bereiche usw. eintragen. Denkbar wäre zusätzlich nur “finance” falls es jemanden gibt der mit \\finance\dfs\freigabe anstatt \\finance.local\dfs\freigabe arbeitet, was zwar nicht sinnvoll aber möglich ist.

Der Wert 1 definiert die Domain (finance.local) als (1) Intranet zone und damit als vertrauenswürdig ein.

image

Definiert habe ich den Wert sowohl in der Computer Configuration als auch in der User Configuration der Policies / Richtlinen.

Im Internet kursieren eine Reihe alternativer Workarounds, wie zum Beispiel das Aufweichen der Sicherheitseinstellungen in Excel / Office wie im folgendem Screenshot zu sehen ist.

image

Davon halte ich nichts, Life is dangerous … und da muss man nicht zusätzlich die Anzahl der Angriffsvektoren erhöhen.

Enjoy it, b!

Windows 10 Gruppenrichtlinien

Veröffentlicht am von
2

Hinweis: Inzwischen bezieht sich der Artikel auf die letzten ADMX-Dateien für Windows 10, also auf die Version 21H2. Darum habe ich ihn in meinem Blog auch auf Januar 2022 vorgezogen.

Damit Windows 10 innerhalb einer Windows Domäne sauber konfiguriert werden kann hat Microsoft die entsprechenden ADMX Vorlagen, welche die Grundlagen für die Gruppenrichtlinien (GPOs) darstellen veröffentlicht:

https://www.microsoft.com/en-us/download/103667

Die Installation der Vorlagen sollte über einen zentralen Speicher (Central Store – OK, ich verwende das deutsche Wort nicht mehr Winking smile ) erfolgen. Wie dieser angelegt wird ist unter anderem in folgendem Artikel beschrieben:

https://support.microsoft.com/en-us/kb/929841

Im Wesentlichen ist das Vorgehen nicht besonders schwierig:

Herunterladen der aktuellen Templates (hier für Windows 10 November 2021 Update (21H2)) unter

https://www.microsoft.com/en-us/download/103667

Installation des Pakets (Administrative Templates (.admx) for Windows 10 November 2021 Update.msi) auf einem Server oder PC was letztendlich in einem Verzeichnis C:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2021 Update (21H2)\PolicyDefinitions endet.

Von dort werden die Vorlagen (Templates) in den SysVol Ordner auf den Domain Controller (DC) kopiert:

xcopy "\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2021 Update (21H2)\PolicyDefinitions\*" "%LOGONSERVER%\SysVol\%USERDNSDOMAIN%\Policies\PolicyDef
initions\"

Und die Sprachdateien (Language Files) in einen für die Sprache entsprechenden Unterordner. Ich verwende auf meinen Server generell Englisch, da mir das Übersetzen von Fehlermeldungen zu mühsam ist. Damit ist es bei en-US

# kopieren der englischen ADMX Dateien en-us
xcopy "\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2021 Update (21H2)\PolicyDefinitions\en-us\*" "%LOGONSERVER%\SysVol\%USERDNSDOMAIN%\Policies\PolicyDefinitions\en-us\"
# kopieren der deutschen ADMX Dateien de-de
xcopy "\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2021 Update (21H2)\PolicyDefinitions\de-de\*" "%LOGONSERVER%\SysVol\%USERDNSDOMAIN%\Policies\PolicyDefinitions\de-de\"

Der hier verwendete Xcopy impliziert, dass die Eingabeaufforderung auf Laufwerk C: und elevated (als Administrator) ausgeführt wird.

In SBS Umgebungen eher selten, dafür ein größeren Umgebungen üblich ist der Einsatz von mehreren DCs. Hier sollte, bevor der Store eingerichtet wird, die korrekte Funktion der Replikation geprüft und sichergestellt werden. Die Vorlagen werden dann automatisch zwischen den Domain Controller repliziert.

Beim nächsten Öffnen der Gruppenrichtlinien (Group Policy Managements) werden die neuen ADMX Dateien aus dem Central Policy Store angezogen.

Update 2015-12-02:
Beim Einspielen in einer größeren Umgebung hatte ich prompt das Problem, dass die die DC nicht (mehr) repliziert haben. Aber im Internet ist man ja niemals alleine … hier ein Link zu einer Anleitung mit der sich bei mir der Fehler beheben ließ.

Enjoy it, b!

Integration von Windows 10 und SBE

Veröffentlicht am von
Antwort

Um Windows 10 mit einer Small Business Essentials Umgebung (SBE) sind zwei Dinge notwendig.

  1. Installation des SBE Client Connectors auf dem Windows 10 Client
  2. Anpassung der GPO auf dem SBE

Ausgehend vom aktuellsten SBE, dem Windows Server 2012 R2 Small Business Essentials (egal ob Role oder SKU) sind dazu folgende Schritte notwendig.

Installation des Client Connectors

Ein Download des Connectors von http://sbe/connect endet in folgender Fehlermeldung.

image

An unexpected error has occurred. To solve this issue, contact the person responsible for your network

Um das Problem zu lösen muss der Client Connector in einer aktuallisierten Version installiert werden, dazu gibt es mehrere Möglichkeiten.

  1. Download und Installation auf Windows 10, sowie anschließender Verbindung mit dem SBE
  2. Update des SBE damit gleich der richtige Client Connector zur Verfügung gestellt wird

Blogs dazu gibt es viele – ein Blick zu Microsoft ist hier sicherlich der erste Weg.

https://blogs.technet.microsoft.com/sbs/2015/11/17/client-connector-availability-with-windows-home-server-small-business-server-and-windows-server-essentials-for-supported-client-os/

und natürlich Winking smile

https://sbsland.wordpress.com/2015/11/ 

Der Download für Windows 10 ist hier (KB2790621) erhältlich und das Update für den Server hier (KB310585). Wenn wir davon ausgehen, dass wir bestimmt mehrere Windows 10 Client zu versorgen haben, macht die Installation von KB310585 auf dem SBE 2012 R2 sicherlich mehr Sinn!

Die Umleitung der Ordner

Nachdem die Windows 10 Clients auch in der SBE Umgebung integriert sind, besteht die Möglichkeit die Ordner den Clients auf den Server um zu leiten. Das klappt für Windows 10 nicht und im Dashboard erscheint die folgende Meldung.

image

Dashboard / Devices / Group Policy / Not Applicable

Der Grund dafür ist ein WMI Filter, der entsprechend angepaßt werden muss. Microsoft beschreibt das in folgenden Blog-Beitrag:

https://blogs.technet.microsoft.com/sbs/2016/01/22/wmi-group-policy-filter-issue-on-windows-10-breaks-folder-redirection-windows-server-2012-r2-essentials-windows-server-2012-essentials-and-windows-small-business-server-2011-essentials/

Im Wesentlichen handelt es sich um folgende Änderung.

# Vorhandener WMI Filter
select * from Win32_OperatingSystem where (Version >= "6.1%") and ProductType= "1" 

# Neuer WMI Filter
select * from Win32_OperatingSystem where Version like "10.%" or Version >="6.1"

Enjoy it, b!