Outlook 2010: Outlook Anywhere (RPC over HTTPS) per GPO deaktivieren

Auf den Exchange Servern kann Outlook Anywhere (RPC over HTTPS) nur eingeschaltet oder abgeschaltet werden. Eine Konfiguration welcher Benutzer Outlook Anywhere verwenden darf, ist leider nicht so einfach möglich. Zwar kann mittels Forefront TMG der Zugriff auf Active Directory Gruppen beschränkt werden, aber per Autodiscover wird jeder Client auf Outlook Anywhere konfiguriert. Das hat jedoch den Nachteil das Benutzer die Outlook offline nutzen möchten permanent aufgefordert werden Benutzernamen und Passwort einzugeben, da Outlook ja eine gültige Outlook Anywhere Konfiguration kennt und lediglich Forefront die Verbindung verweigert.

Auf diesem Screenshot sieht man, dass nur Benutzer die in der Gruppe “Outlook Anywhere Benutzer” sind, Zugriff via Forefront und RPCoverHTTPS bekommen.

image

Trotzdem erhält Outlook via Autodiscover die Outlook Anywhere Einstellungen und versucht die im Falle einer Remote Verbindung dann auch zu benutzen

Outlook Anywhere

Sobald Outlook dann versucht eine Verbindung aufzubauen, werden immer wieder Benutzername und Passwort abgefragt, da Forefront die Verbindung verweigert.

Um dieses Problem zu umgehen, sollte man also Outlook Anywhere auf allen Clients deaktivieren die es nicht benutzen dürfen. Am Einfachsten funktioniert das per Gruppenrichtlinie (GPO), leider ist die nötige Einstellung aber nicht in den Standard Templates für Office enthalten, sondern etwas versteckt. Hier also eine kleine Anleitung (NICHT ANWENDEN AUF OUTLOOK 2010 UND EXCHANGE 2013)

Zuerst das Template mit dem sprechenden Namen 2426686 runterladen, welches die Einstellungen für Outlook 2010 enthält und auf einen Domain Controller kopieren:

2426686_template.adm

Dann eine neue GPO erstellen um Outlook Anywhere global zu deaktivieren, die GPO wird mit der Domain verknüpft:

image

Als nächstes zum Reiter “Delegierung” wechseln und auf “Erweitert” klicken

image

Jetzt die entsprechende Active Directory Gruppe hinzufügen, für die Outlook Anywhere erlaubt sein soll (in meinem Fall ist das die Gruppe “DL_Outlook_Anywhere_Benutzer”), dann den Haken bei “Gruppenrichtlinie übernehmen” auf “Verweigern” setzen

image

Dann die GPO bearbeiten und unter der Benutzerkonfiguration den Punkt Richtlinien –> Administrative Vorlagen auswählen. Dort wird nun das Template hinzugefügt

image

Sobald das Template hinzugefügt wurde, wird der Punkt “Klassische administrative Vorlage (ADM)” sichtbar, dort findet sich die Einstellung “RPC/HTTP Connection Flags”

image

Die Einstellung wird nun aktiviert und auf “No Flags” festgelegt

image

Jetzt ist Outlook Anywhere für alle Benutzer deaktiviert die nicht der entsprechenden Active Directory Gruppe angehören (in meinem Fall “DL_Outlook_Anywhere_Benutzer”)

image

Alle andern Benutzer bekommen weiterhin die Einstellungen via Autodiscover.

5 thoughts on “Outlook 2010: Outlook Anywhere (RPC over HTTPS) per GPO deaktivieren”

  1. Hallo,

    gilt das auch für Exchange 2016 mit Outlook 2010 ?

    Aber gibt es auch eine allg. Erklärung für die Ausklammerung von oben….

    Reply
  2. Hi Frank

    Könntest du das bitte noch genauer erläutern, weshalb Outlook 2010 mit Exchange 2013 nicht verwendet werden sollte?

    Kind Regards

    Reply
  3. Hallo Frank,

    die Antwort zu Dirks Frage würde mich auch interessieren ?
    Wieso darf dies nicht auf O2010 und EXCH2013 eingestellt werden ?

    Vielen Dank

    Reply
  4. Moin Franky,

    danke für Deine sehr detaillierte und präzise Anleitung! Kannst Du mir schreiben, warum Du explizit „Outlook 2010 und Exchange 2013“ ausklammerst?

    Denn ich habe sporadisch (alle 1-2 Wochen) zwei Clients, die „Keine Verbindung zum Postfach“ anzeigen und sich erst nach mehreren Neustarts oder eben manuellem Eintragen der IP-Adresse des Mailservers in den Proxyeinstellungen von Outlook 2010 verbinden (aber die Einstellungen gehen auch da wieder „verloren“ und daher habe ich Deine Anleitung gefunden).

    Die Clients waren vorher in einer anderen Domäne und haben sonst keine Verbindungsprobleme. Klingt nach DNS, aber passiert gezielt bei zwei Clients und absolut sporadisch. Warum also „(NICHT ANWENDEN AUF OUTLOOK 2010 UND EXCHANGE 2013)“?

    Danke Dir und mit besten Grüßen
    Dirk G.

    Reply
  5. Hallo Frank genau diese Einstellung habe ich seit langem gesucht. Es gibt einige englische Foren die über das selbe Problem klagen aber auch keine Lösung anbieten können. Ich habe auch bereit das Template Article-961112.adm eingesetzt aber leider nicht auf diese Art und weise daher hat es auch nicht funktioniert. Wenn möglich wäre es schön wenn du diese Anleitung noch auf englisch machen könntest. Bin mir sicher die fremdsprachigen da draußen werden es dir danken.

    Vielen Dank zumindest von meiner Seite

    Alex

    Reply

Leave a Comment