Es ist mal wieder Zeit für einen neuen Blogbeitrag... Kürzlich war ich in eine Diskussion verwickelt über die Zonenzuweisungen des Internet Explorer mit Hilfe von Gruppenrichtlinien. Dieser Blogbeitrag handelt davon, welche Einträge für Webseiten hier gültig sind und welche nicht.
Wie ordne ich eine Site einer Zone zu?
Es gibt zwei Wege für Administratoren, einer URL eine Sicherheitszone zuzuweisen:- Native Gruppenrichtlinien - MVP-Kollege Alan Burchill hat ein schönes Tutorial dazu geschrieben: http://www.grouppolicy.biz/2010/03/how-to-use-group-policy-to-configure-internet-explorer-security-zone-sites/
- Registrierungswerte (Mit Hilfe von Group Policy Preferences Registrierung) - MVP-Kollege Joseph Moody hat dazu ebenfalls ein Tutorial geschrieben: https://deployhappiness.com/managing-internet-explorer-trusted-sites-with-group-policy/
Was kann ich als Webseite zuweisen?
In Site zu Zonenzuweisungen (im folgenden kurz S2Z) werden URLs eingetragen (Uniform Ressource Locator). Ein URL besteht grundsätzlich aus bis zu 5 Teilen:- Protokoll (http, ftp, file...)
- Benutzer und Kennwort (ftp://johndoe:johnspass@somehost.dot.com)
- Hostname (www.bing.com) oder IP-Adresse
- Port (wsus.intern.com:8531)
- Pfad (evilgpo.blogspot.de/2012/02/loopback-demystified.html)
Wenn ein Hostname angegeben wird, muss dieser entweder ein reiner Hostname (ohne Domänenanteil) sein oder ein vollqualifizierter Name (FQDN), der aus mindestens 3 Teilen besteht. Hostnamen in Root-Domänen sind nicht möglich. Wenn der FQDN nur aus 3 Teilen besteht, dann muss die Second Level Domain mindestens 3 Buchstaben haben (das wurde in Windows 10 geändert, hier sind derzeit auch SLDs mit nur 2 Buchstaben möglich).
Darüber hinaus unterstützt S2Z auch Wildcards. Genauer gesagt werden exakt 2 Wildcards unterstützt - eins für das Protokoll und eins für den Hostnamen in einem FQDN oder den letzten Teil einer IP-Adresse. Nochmal: Es sind nur 2 * Wildcards (keine ?), und sie sind nur zulässig für das Protokoll und den Hostnamen oder den letzten Teil einer IP-Adresse - nirgendwo anders.
Wenn es ungültige Einträge gibt, werden alle gültigen Einträge trotzdem verarbeitet. S2Z wird dann im Gruppenrichtlinien-Ereignisprotokoll ein Ereignis mit der ID 1085 und dem Fehlercode 87 ("Der Parameter ist ungültig") erzeugen. Leider wird aber die URL nicht protokolliert, die den Fehler auslöst - und auch die GPO nicht, die diese URL enthält.
Im Fehlerfall ist es Eure Aufgabe, ungültige Einträge zu identifizieren. Ihr prüft alle GPOs, ob sie S2Z-Einträge enthalten, und verifiziert diese. Microsoft stellt dafür auch ein paar Beispiele für gültige und ungültige Einträge bereit: https://msdn.microsoft.com/library/ms537143.aspx
https://support.microsoft.com/kb/259493
Um Euch das ganze etwas zu erleichtern, folgt jetzt noch eine ausführlichere Liste von gültigen und ungültigen S2Z-Einträgen mit einer Erklärung, warum sie gültig sind oder nicht.
Gültige Einträge
www.microsoft.com
Gültiger Eintrag - besteht aus einem vollqualifizierten Hostnamen (FQDN). Da kein Protokoll angegeben wurde, gilt er für alle Protokolle.https://intranet
Gültiger Eintrag - besteht aus Protokoll und Hostname. Da keine Domäne angegeben wurde, gilt er für einen Host in der primären DNS-Domäne des Computers.https://www.mycorp.com:8080
Teilweise gültiger Eintrag - besteht aus Protokoll, FQDN und Port. Der Port wird transparent ignoriert, der Eintrag gilt für alle Ports auf diesem Host.http://www.mycorp.com/index.html
Teilweise gültiger Eintrag - besteht aus Protokoll, FQDN und Pfad. Der Pfad wird transparent ignoriert, der Eintrag gilt für alle Pfade auf diesem Host.*://www.microsoft.com
Gültiger Eintrag - da das Protokoll ein Wildcard ist, ist er identisch mit www.microsoft.com (ohne Protokoll).*.mycorp.com
Gültiger Eintrag - der Hostname ist ein Wildcard, der Eintrag gilt für alle Hosts in der Domäne mycorp.com.192.168.1.15
Gültiger Eintrag - IP-Adressen sind ebenso zulässig wie Hostnamen. Allerdings muss die URL in Internet Explorer dann auch als IP-Adresse angegeben werden - DNS-Auflösung ist hier nicht beteiligt.192.168.1-255.*
Gültiger Eintrag - besteht aus einem IP-Bereich 192.168.0.0/16 und gilt für alle Hosts in diesem Bereich.http://microsoft.com
Gültiger Eintrag - aber Achtung, das ist kein Eintrag für den Hostnamen microsoft in der Domäne com, sondern S2Z konvertiert das implizit nach *.microsoft.com. Das ist eine Folge einer der Regeln von oben: Wenn ein FQDN verwendet wird, muss dieser aus mindestens 3 Teilen bestehen. Da es hier nur 2 Teile gibt, betrachtet S2Z den Eintrag als Domäne.
Ungültige Einträge
*hosts.mycorp.com
Ungültiger Eintrag - ein Wildcard als Teil eines Hostnamens ist nicht zulässig, nur für den ganzen Hostnamen.www.mycorp.*
Ungültiger Eintrag - die Wildcard ersetzt einen Teil der Domäne. Wildcards können nur für den Hostnamen verwendet werden (also vorne).www.*.mycorp.com
Ungültiger Eintrag (wie der vorherige) - die Wildcard ersetzt einen Teil der Domäne.http*://www.mycorp.com
Ungültiger Eintrag - ein Wildcard als Teil des Protokolls ist unzulässig, nur für das Protokoll insgesamt (was natürlich identisch ist mit dem Weglassen des Protokolls). Will ich lediglich http und https zuweisen (was ja der Angabe von http* entspräche), dann muss ich zwei Einträge erstellen.192.168.*.1
Ungültiger Eintrag - ein Wildcard in IP-Adressen kann nur an der letzten Position verwendet werden.*.*.mycorp.com
Ungültiger Eintrag. Im FQDN ist nur ein Wildcard erlaubt, und das auch nur für den Hostnamen.
Danke an...
Die anfangs erwähnte Diskussion führte ich mit folgenden Personen, denen ich hiermit danken möchte:MVP Jeremy Moskowitz - http://www.policypak.com und http://www.gpanswers.com
IT-Consultant Carl Webster - http://carlwebster.com, insbesondere http://carlwebster.com/troubleshooting-microsoft-group-policy-site-to-zone-mapping/ was das erste Ergebnis unserer Diskussion war. Danke Carl für das Herausarbeiten der Besonderheiten, dass Ports und Pfade transparent ignoriert werden und dass bei Angabe eines Namens, der nur aus 2 Teilen besteht, implizit ein Wildcard für den Hostnamen ergänzt wird.
No comments:
Post a Comment