Hallo Johannes,
Das von Dir beschriebene Verhalten zum Download/Oeffnen von Dokumenten mit
aktiver Policy (Security Page - Internet Zone - "Allow file downloads" ->
enabled-disabled)
ist beim IE7 erwartet, und somit By Design.
Hiermit wurde ein Sicherheitsrisiko beseitigt dass somit beim IE6 ein
anderes Verhalten zeigte.
Es ist also nicht im Zusammenhang mit Vista SP1 zu sehen sondern eher mit
IE7.
Bei aktiver Policy sind die entsprechenden IE7 Settings ausgegraut.
Selbe Meldung/Verhalten erfolgt wenn die Einstellung direkt am IE
vorgenommen wird (ohne Policy).
Proxy/Firewall ist immer eine Alternative aber nicht immer machbar unter
bestimmten Umstaenden etc....
Ab XP Sp2 wurde eine neue GPO eingefuehrt die moeglicherweise Dein Ziel
unterstuetzt.
Es ging um die Frage zum gezieltem File Download.
Eine moegliche Alternative zu der "Allow file downloads" Policy im folgenden
Artikel: (gilt auch fuer Vista)
883260 Description of how the Attachment Manager works in Windows XP Service
Pack 2
http://support.microsoft.com/default...b;EN-US;883260
Der Attachementmanager funktioniert wie folgt:
Die Standard-Sicherheitsstufe ist 'Mittleres-Risiko'. Das bedeutet, dass bis
auf
gewisse Ausnahmen (z.B. '.exe'), heruntergeladene Dateien ohne weiteres
Zutun des
Users geöffnet werden können. Wenn die Sicherheitsstufe auf 'Hohes Risiko'
gesetzt
wird, so werden alle Dateitypen per se als unsicher eingestuft und es ist
eine
explizite Handlung des Users notwendig um die Datei zu öffnen.
Möchte man nun dieses Setting für bestimmte Dateitypen anpassen, so gibt es
die
'Inclusionlists' / 'Aufnahmelisten'. Diese Listen arbeiten folgendermaßen:
ein
Dateityp, der in eine solche Liste eingetragen ist, wird unabhängig von der
Standardstufe immer in der entsprechenden Stufe der Aufnahmeliste
ausgeführt.
Sprich, wenn z.B. '.pdf' in der Aufnahmeliste für Dateitypen mit mittlerem
Risiko
eingetragen ist, aber die Standardstufe auf 'hohes Risiko' steht, so wird
beim
Öffnen eines PDF's nicht nachgefragt, ob dieses geöffnet werden soll.
- z.B. Editieren sie die Aufnahmeliste für Dateitypen mit mittlerem Risiko
in
der Art, dass die von ihnen oft genutzten Dateitypen, die sie auch guten
Gewissens
als weniger gefährlich einstufen können, in diese Aufnahmeliste eingetragen
wird,
z.B. '.pdf'
Der KB Artikel der die Funktionalität des Attachement Managers beschreibt
ist
unter: <http://support.microsoft.com/?id=883260> zu finden.
Bitte beachten sie, dass der Attachement Manager sich nicht auf Outlook,
sondern
nur auf Outlook Express und den Internet Explorer bezieht!
Zu der Benutzung des Anlagenmanagers gibt es seit kurzem einen KB Artikel,
der das
Problem exemplarisch an Powerpoint beschreibt:
<http://support.microsoft.com/kb/918895/en-us>
Das bedeutet, dass einige Dateiendungen leider nicht funktionieren oder
keinen Sinn macht,
sondern es muss der etwas aufwändigere Weg über die ProgID/CLSID genommen
werden.
- Für PDF muss die Browserintegration deaktiviert werden ( Acrobat Reader
=> Bearbeiten => Grundeinstellungen => PDF in Browser anzeigen)
- Bitte überprüfen sie, ob sie in HKEY_CLASSES_ROOT\CLSID zu pdf fündig
werden. Dort sollte dann ggf. auch die entsprechende Bezeichnung zu finden
sein,
z.B. für PDF:
HKEY_CLASSES_ROOT\CLSID\{B801CA65-A1FC-11D0-85AD-444553540000}\ProgID
(Standard) = AcroExch.Document.7
[in dem Fall für AR7]
D.h., dass je nach Einstellungen direkt unter 'HKCR' auch
'AcroExch.Document.7' als
Ausnahme definiert werden muss.
Versuchen sie daher auch 'AcroExch.Document.7' oder 'AcroPDF.PDF.1' in die
entsprechende Liste aufzunehmen.
Kurze Ergänzung noch zu dem Aufnahmelisten:
Wenn eine Applikation eingetragen werden soll, die keine entsprechende
ProgId oder
CLSID besitzt, so sollte es in dem Fall ausreichen, die Endung als solche
einzutragen.
Reference:
------------------
883260 Description of how the Attachment Manager works in Windows XP Service
Pack 2
http://support.microsoft.com/default...b;EN-US;883260
918895 The "Inclusion list for low file types" policy setting in Attachment
Manager is not applied correctly for PowerPoint file attachments on a
Windows XP Service Pack 2-based computer
http://support.microsoft.com/default...b;EN-US;918895
- Windows Administration: Secure Your Desktops With The New Group Policy ...
http://technet.microsoft.com/en-us/m.../cc160780.aspx
Mit freundlichen Gruessen,
Helmar Schmidt
"Johannes Heckenstaller" <JohannesHeckenstaller@discussions.microsoft.com >
wrote in message news:61104C8F-3A39-4DB6-898B-BBA45D436705@microsoft.com...
> Hallo,
>
> unter Windows 2000/IE6 konnte man mit den Gruppenrichtlinien das
> downloaden
> verbieten.
> Trotzdem war es möglich, PDF-Dateien anzuklicken und diese wurden dann mit
> dem Acrobat Reader angezeigt.
>
> An sich war das genau das, was wir benötigt hatten.
>
> Unter Windows Vista/IE7 werden auch die PDFs geblockt - somit muss man
> jedem
> Anwender das downloaden erlauben, ob man will oder nicht.
>
> Gibt es eine Möglichkeit, den Download etwas granularer zu steuern, etwa
> nur
> bestimmte Dateitypen (PDF, TXT) zu erlauben?
>
> lg
> J. Heckenstaller
Linear Mode
