Diese Datei befindet sich an einem Speicherort außerhalb des lokalen netzwerks GPO

Hallo,

erst einmal die Infos für Winfried. Diese Haken sind in der Policy gesetzt und ziehen auch. (s. erster Post)

Benutzerkonfiguration (Aktiviert) -Richtlinien - Administrative Vorlagen Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Sicherheitsseite "Automatische Erkennung des Intranets aktivieren" Aktiviert "Intranetsites: Alle Netzwerkpfade (UNCs) einbeziehen" Aktiviert "Intranetsites: Alle Sites, die den Proxyserver umgehen, einbeziehen" Aktiviert

"Liste der Site zu Zonenzuweisungen" Aktiviert

Die Automatische Erkennung des Intranets ist ja erwünscht, warum sollte ich das jetzt deaktivieren? Wenn ich den Haken rausmache ist es das gleiche Problem.

Wenn ich die "Liste der Site zu Zonenzuweisungen" auf nicht konfiguriert setze und neu mache funktioniert es erst einmal.

Wenn ich dann ein paar weitere Seiten dazu editiere bekomme ich Fehler beim GPUPDATE. GPRESULT /h hat folgenden Eintrag:

"Internet Explorer Zonemapping Gescheitert (keine Daten) 07.11.2013 13:50:08 Internet Explorer Zonemapping ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

Falscher Parameter. "

Im IE werden die editierten Seiten aber ausgegeben und auch als die entssprechende Zone erkannt, aber die Sicherheitseinstellungen ziehen nicht korrekt.

In der Liste sind aktuell sieben Einträge. Alle im Format

*.domain.net oder *.domain.de und die jeweilige Zonenzuordnung.

Ich habe schon durchgetestet, ob eine der Domains den Fehler auslöst. daran liegt es aber nicht. Sobald es mehr als 2-4 Einträge sind scheint das Problem zu beginnen.

Nachdem ich jetzt jeden Eintrag einzeln eingetragen habe und danach die Policyeinstellung mit OK bestätigt habe, scheint der Fehler nicht mehr aufzutreten.

Kann es sich hier um einen Bug der Eingabemaske handeln, wenn man mehrere Einträge auf einen Rutsch einpflegen will?

Ich editiere die Policy auf einem aktuellen W2k12 in deutsch.

Versucht man eine ausführbare Datei von einem anderen Arbeitsgruppen-Computer oder einem NAS zu starten, erhält man in der Regel folgende Sicherheitswarnung:

Ist der eigene oder der entfernte Computer nicht Mitglied der selben Domäne oder handelt es sich generell um eine Arbeitsgruppen-Umgebung ist diese Meldung normal. Die dahinter stehende Funktionalität soll verhindern, das unbemerkt bzw. ungewollt Anwendungen gestartet werden.

Mittels einer Konfigurationsänderung lässt sich diese Meldung verhindern bzw. dem entfernten Computer oder NAS vertrauen. Grafisch lässt sich unter

Systemsteuerung - Internetoptionen - Sicherheit - Lokales Intranet

nach einem Klick auf “Sites” und “Erweitert” die IP-Adresse, der Computername oder der FQDN des entfernten Computers eintragen. Je nachdem wie das Netzwerk gestaltet ist oder wo sich der entfernte Computer befindet, z.B. anderes Subnetz oder anderen DNS-Domäne, und wie auf Diesen zugegriffen wird, kann es sinnvoll sein alle drei Varianten einzutragen.

Hinweis: Diese Einstellung wird pro Benutzer gespeichert!

Via Gruppenrichtlinie (Lokal oder Domäne) lässt sich die Änderung unter

Benutzer- oder Computereinstellungen - Administrative Vorlagen - Windows-Komponenten - Internet Explorer - Internetsystemsteuerung - Sicherheitsseite

in “Liste der Site zu Zonenzuweisungen” vornehmen. Hierzu muss man folgendes Wissen:

“Wertname” stellt die “Site”, also die eigentliche Ziel-Adresse, dar und mittels “Wert” wird die zugeordnete Zone angeben. Möglich ist:

1 = Lokales Intranet
2 = Vertrauenswürdige Sites
3 = Internet
4 = Eingeschränkte Sites

Hinweis: Sobald mittels Gruppenrichtlinie die Sites vorgegeben werden, kann der Benutzer keine eigenen bzw. weiteren Einträge hinzufügen!

Die Einstellung wird in der Registry unter

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

bzw.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

gespeichert. Folglich kann man diese ebenfalls via Skript, “reg import” oder auch “reg add” ändern. Ein Beispiel:

reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v AutoDetect /t REG_DWORD /d 0 /f reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\%DeploymentServer%" /v * /t REG_DWORD /d 1 /f

Die Änderung greift im Vergleich zu früheren Windows-Versionen, wie z.B. XP, sofort. Ein Neustart ist nicht notwendig.

Microsoft Docs – Registrierungseinträge für Internet Explorer-Sicherheitszonen für erweiterte Benutzer

DeployHappiness – Managing Internet Explorer Trusted Sites with Group Policy

Bents Blog – Sicherheitswarnung „Datei öffnen“ in Domänen via Gruppenrichtlinien abschalten

Schon immer Technik-Enthusiast, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen. Die Schwerpunkte liegen auf der Netzwerkinfrastruktur, den Betrieb von Servern und Diensten.

Bei Windows 7 kommt beim Starten von Dateien auf Netzlaufwerken eine Sicherheitswarnung. „Der Herausgeber konnte nicht verifiziert werden. Möchten Sie diese Software ausführen?“

Der Grund für diese Meldung ist, dass die Datei keine gültige digitale Signatur hat. Da die Datei sich im internen Netz auf einem Netzlaufwerk befindet, möchte man ihr vertrauen und nicht jedes Mal durch die Sicherheitswarnung gestört werden.

Domäne: domain.intra
Servername: myserver
Sharename: mytrustedexecutables
UNC-Pfad: \\myserver\mytrustedexecutables gemapped auf o:\ Konfiguration im IE8 / IE9 Internet Explorer -> Internet Optionen -> Sicherheit -> Lokales Intranet -> Stufe anpassen... Verschiedenes -> Anwendungen und unsichere Dateien ausführen auf Aktivieren setzen.

Und bei Internet Explorer -> Internet Optionen -> Sicherheit -> Lokales Intranet folgende Einträge hinzufügen.

Folgende Einträge hinzufügen \\myserver domain.intra

\\domain.intra

Diese Einstellungen können natürlich Domänenweit, via GPO verteilt werden

Auf dem Windows Server „Group Policy Management Editor“ öffnen (gpmc.msc) Bei den Policies folgende Einstellung tätigen:

Policy Pfad:

User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page | Site to Zone Assignement List

Der Servername und der Domänenname müssen zu der Trusted Zone [ 1 ] der Zone für das Lokale Intranet hinzugefügt werden. Die Einstellung für „Anwendungen und unsichere Dateien ausführen“ wir hier gemacht:

User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page -> Intranet Zone | Launching programs and unsafe files

Nach dem die GPO Einstellungen gemacht wurden den Client neu starten. Nun erscheint und nervt der Sicherheitshinweis nicht mehr.

cloudtec AG

Sandrainstrasse 17 3007 Bern Switzerland

https://www.cloudtec.ch/blog/tech/2011/datei-oeffnen-sicherheitswarnung-gpo