Seit dem Java 7 Update 51 im Januar 2014 können im Internet Explorer keine selbstsignierten und unsignierten Java Applets mehr geöffnet und angeschaut werden. Das liegt daran, dass die Sicherheitsstufe im Java Control Panel standardmäßig auf "high" eingestellt ist und die Applets nun blockiert. Diese Sicherheitsstufe kann per Gruppenrichtlinie (GPO) angepasst werden.

Für die Erstellung der GPO benötigt man eine sogenannte deployment.properties Datei mit der entsprechenden Sicherheitsstufeneinstellung. Solch eine Datei kann über einen beliebigen Client mittels des Java Control Panels generiert werden, in welchem die Sicherheitsstufe angepasst wird. Die Datei wird automatisch unter dem Pfad C:\User\"Username"\AppData\Locallow\Sun\Java\Deployment gespeichert.

Im nachfolgenden Beispiel wurde die Sicherheitsstufe auf "medium" gestellt, um die blockierten Applets zuzulassen.

JavaCP-medium

Die entsprechende deployment.properties Datei sieht folgendermaßen aus:

deplprop

Diese Datei muss jetzt auf einem Share mit den gewünschten Einstellungen abgespeichert werden, damit man später über den Domain Controller darauf zugreifen kann.

Nun erstellt man über die Gruppenrichtlinienverwaltung eine neue Gruppenrichtlinie auf dem Domain Controller in der entsprechenden Domäne. Diese GPO kann beispielsweise „Javasec“ genannt werden. Um nun die auf dem Share gespeicherte Datei für alle Clients zur Verfügung zu stellen, erstellt man in der GPO über Computer Configuration ->  Preferences -> Rechtsklick auf File -> New eine neue Datei.

Dazu muss im „Source file“-Feld der Pfad von dem Share angegeben werden, in dem die geänderte deployment.properties Datei liegt. Im „Destination File“-Feld wird der Pfad %WINDIR%\Sun\Java\Deployment\deployment.properties eingegeben. Dabei handelt es sich um den Pfad, in der die deployment.poperties Datei auf den Clients gespeichert werden soll. Dieser Pfad muss dazu noch für jeden User erstellt werden. Dazu mehr im letzten Schritt.

gpodeplpropcreate

Als nächstes müssen jegliche Einstellungen des Users gelöscht werden, damit die GPO die Sicherheitseinstellung wieder auf die gewünschte Stufe setzen kann.

Hierzu gehen Sie über User Configuration -> Preferences -> Windows Settings -> Rechtsklick auf File -> New um eine weitere Datei mit Action Delete in der GPO zu erstellen. Im „Delete File“-Feld muss nun der Original Pfad der Datei %USERPROFILE%\Sun\Java\Deployment\deployment.properties stehen.

gpodeplpropdelete

Im letzten Schritt muss noch, wie vorher schon erwähnt, der Pfad für alle User erstellt werden, indem die angepasste Datei gespeichert wird. Dies erfolgt ebenso über User Configuration -> Preferences -> Windows Settings -> Rechtsklick auf Folder -> New. Nun muss in dem „Path“-Feld der Pfad %WINDIR%\Sun\Java\Deployment\ des Ordners eingetragen werden.

gpopfadcreate

Durch die Erstellung der Gruppenrichtlinie wird nun die deployment.properties Datei mit der gewünschten Sicherheitslevel Einstellung (im Beispiel „Medium“) auf allen Clients verteilt. Die User sind jetzt jedoch noch in der Lage die Sicherheitsstufe manuell einzustellen, jedoch wird die Einstellung nach jedem Neustart wieder auf die per GPO eingestellte Sicherheitsstufe zurückgesetzt.

Damit die Gruppenrichtlinie unmittelbar angewendet wird, kann der Befehl gpupdate /force auf dem Client verwendet werden. Wie man den Befehl zentral auf allen Clients ausführen kann, beschreibt mein Kollege Ralf Kirschner in seinem Blogeintrag "Remote-Gruppenrichtlinienupdate".