Gpo настройка internet explorer 11
Обновлено: 04.07.2024
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Перевел офис на Server 2012 R2 и на Win 8.1. Заметил, что старые групповые политики не применились на IE 11 (страница по умолчанию и надежные узлы). Где-то прочитал, что нужно переходить на IEAK. Но по-моему - это гемор: с каждым изменением создавать новую установку, применять ее. Проще редактировать GPO как и раньше. Гугиль сказал что можно отредактировать старый InternetSettings.xml, изменив там параметр "max" на 10. Но так как у меня политики создавались на 2003 домене, остались старые параметры для старого IE: Политики\Конфигурация Windows\Настройка Internet Explorer В редакторе GPO их уже нет, соответственно редактировать нечего и файл InternetSettings.xml относится не к той настройке IE (его у меня нет). Попробовал создать новый GPO, залез сюда: Конфигурация пользователя\Настройка\Параметры панели управления\Параметры обозревателя Создал новую политику для Internet Explorer 10, заметил что ничего не меняется. Вроде и галочка стоит, что браузер открывался с домашней страницы. А в доверенные узлы вообще ничего нельзя добавить. Посмотрев сведения о GPO (уникальный код), перешел в \\DC\SYSVOL\domain\Policies\(Уникальный код)\User\Preferences\InternetSettings\ InternetSettings.xml поменял параметр "max=99" (на будущее :)), заметил, что (id="Homepage" disabled="1") это говорит о том, что почему-то домашняя страница просто отключена. Поменял на "0". => gpupdate/force => Работает! :) Присмотрелся еще лучше, разбив xml красиво по строчкам. А у нас тут просто идет добавление параметров в реестр. Ну после рытья в этом реестре добавил еще пару строк для добавления узлов в доверенные. Держите, может кому пригодится :) <IE10 clsid="Ну как-то так. Теперь я знаю как параметры в реестр добавлять в HKEY_CURRENT_USER через GPO.Не получалось почему-то стандартными плюшками, буду пользоваться внештатными :)
а прокси и исключения для прокси?
Конфигурация пользователя\Настройка\Параметры панели управления\Параметры обозревателя
ессно тоже не работает
Все через добавление ключа в реестр. Можно посмотреть куда добавляются параметры при изменении в браузере на локальном компьютере и дописать в xml.
Конфигурация пользователя\Настройка\Параметры панели управления\Параметры обозревателя не работает в каком смысле? Просто не создается? или не применяется? Да, она не применяется. Редактирую все через XML, не открывая ту настройку. Главное создать политику, а дописывать все руками. К сожалению только такой выход нашел
создается но не применяется да
спасибо, блин, майкрософту, зачем убрали удобный работающий механизм совершенно непонятно
Ну вот создайте пустую политику. И не лазьте больше туда, ибо все изменения, которые Вы сделаете в файле XML, пропадут. Все настройки только через него. И проксю можно туда вписать. Нужно только отследить в каких ветках реестра она прописывается, когда меняете вручную. У меня никаких настроек прокси нету, поэтому я не заморачивался по этому поводу
Edited at 2013-11-06 04:56 am (UTC)
а вопрос такой - какие есть нюансы с применением пакета созданного в IEAK на рабочих станциях пользователей.
пытаюсь применить через user configuration - без наличия прав локального админа у юзера - полный игнор.
или надо через computer configuration применять?
Когда я msi пакеты использовал, в конфигурацию пользователя вносил эти изменения. Может прав или доступа нет на этот пакет? Можно попробовать мастер групповой политики запустить из консоли политик, там если ошибка будет, он сообщит
Edited at 2013-11-07 04:33 am (UTC)
на пакет все права есть , нет прав локального админа
через computer config всё сработало
но это абсолютно бредовый метод - если у нас допустим 10 городов, то надо создавать 10*4 отдельных пакетов, чтобы разделить настройки прокси для каждого города.
А на что я статью писал? чтобы IEAK обсуждать? :) суть я объяснил, что можно XML просто редактировать, а там я не думаю что сложно сильно найти ветку реестра, куда прописываются настройки прокси для IE
В этой статье я покажу, как для всех пользователей домена установить одинаковые настройки прокси-сервера в браузере Internet Explorer 11 с помощью групповых политик (GPO) Active Directory.
В более ранних версиях Internet Explorer (версии 6, 7 и 9) настройка параметров Internet Explorer осуществлялась в следующем разделе редактора групповых политик: User configuration -> Policies -> Windows Settings -> Internet Explorer Maintenance. Однако в Internet Explorer 10 (представленном в Windows Server 2012 и Windows 8) разработчики удалили раздел Internet Explorer Maintenance (IEM) из редактора GPO. Кроме того, этот раздел также исчезает и в Windows 7 / Windows Server 2008 R2 после установки Internet Explorer 10 или 11. И даже если на компьютер с IE 10 или 11 продолжает действовать старая доменная политика с IEM, имейте в виду, что реально она не работает.
Совет. В январе 2016 года Microsoft объявила о завершении поддержки всех старых версий Internet Explorer. Таким образом, Iinternet Explorer 11 стал единственной поддерживаемой версией в семействе IE, для которой выпускаются обновления и патчи (А вы уже обновили IE на всех ПК до 11 версии?).
Примечание. Данное правило GPP будет применяться только для IE 10 и 11, если у вас в сети остались компьютеры с более старой версией Internet Explorer, для них по аналогии нужно создать отдельные правила GPP.
Осталось назначить данный объект GPO на нужный контейнер Active Directory с пользователями, обновить групповые политики на клиентских компьютерах ( gpupdate /force ) и проверить, что в настройках IE у пользователей выставились указанные вами параметры прокси-сервера.
Совет. Чтобы новые политики с настройками IE можно было редактировать из ОС Windows Server 2008 или 2008 R2, нужно скачать Administrative Templates for Internet Explorer и скопировать файлы Inetres.admx и Inetres.adml в локальный каталог %SYSTEMROOT%\PolicyDefinitions\
Кроме того, задать параметры прокси можно напрямую через реестр. Воспользуемся другой возможностью GPP. В редакторе GPO перейдите в раздел User Configuration -> Preferences -> Registry и в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings создайте три параметра реестра со следующими значениями:
В статье показано как задать параметры прокси–сервера для Internet Explorer, групповыми политиками AD.
Для Windows XP,7,2008,R2: Для того чтобы настроить параметры Internet Explorer (в том числе нужную нам настройку прокси-сервера), необходимо перейти в редактор групповых политик (gpmc.msc). И перейти по пути: User configuration –> Policies –> Windows Settings –> Internet Explorer Maintenance.
Для Windows Server 2012, Windows 8: разработчики Microsoft решили удивить своих пользователей и целиком убрали раздел Internet Explorer Maintenance из редактора групповых политик.
Привычный раздел групповых политик Internet Explorer Maintenance (IEM) также пропадает и в Windows 7 / Windows Server 2008 R2 после установки браузера Internet Explorer 10 или IE 11 (в котором появился полезный режим совместимости Enterprise Mode). И если даже на ПК с IE 10 и IE 11 продолжает действовать старая политика с IEM, применять на такой системе она не будет.
Итак, в новых реализациях задавать параметры нужно в предпочтениях групповых политик GPP (Group Policy Preferences).
В консоли редактора групповых политик (Group Policy Management Console) откроем раздел User Configuration -> Preferences -> Control Panel Settings -> Internet Settings. В контекстном меню нажмем New -> и выберем версию IE, настройки которой будут определяться в создаваемой политике.
Доступны настройки для следующих версий IE: Internet Explorer 5,6,7,8,9,10
Примечание. Политика Internet Explorer 10 действует и на Internet Explorer 11 (в xml файлах политики можно увидеть, что опция действительна для всех версии IE, начиная c 10.0.0.0 и заканчивая 99.0.0.0).
далее создадим политику для Iternet Exlorer 10 и выше. Процесс настройки параметров IE стал более простым, параметры интернет браузера в предпочтениях групповой политики воспроизводят вкладки настроек для каждой совместимой версии IE.
Информация. При формировании политики недостаточно сохранить внесенные изменения в редакторе политики, обратите внимание на красные и зеленые подчеркивания у настраиваемых параметров. Красное подчеркивание эта настройка не подтверждена и применяться не будет. Чтобы ее принять, нажмите F5. Зеленое подчеркивание у параметра означает, что этот настройка будет применяться через GPP.
Для нас доступные функциональные клавиши:
- F5 – Включить все настройки на текущей вкладке
- F6 – Включить выбранный параметр
- F7 – Отключить выбранный параметр
- F8 – Отключить все настройки на текущей вкладке
Настроим прокси-сервер во вкладке Подключения -> Параметры локальной сети (Connections ->Lan Settings). Ставим галку Использовать прокси-сервер для локальных подключений (Use a proxy server for your LAN), а в полях Адрес (Address) и Порт (Port) соответственно указываем ip/имя прокси-сервера и порт подключения.
Следующим шагом сохраняем политику и применяем к нужному контейнеру AD.
Существует не менее трех независимых и иногда конфликтующих методов настройки IE с использованием групповой политики, поэтому было бы явной ошибкой утверждать, что применять эту технологию просто. Но учитывая, как важно защитить IE во многих компаниях, необходимо принять вызов и постараться найти оптимальное решение задачи. В этой статье собраны советы и оптимальные методы навигации по лабиринту управления IE с помощью групповой политики
Должен признаться, что, приступая к этой статье, я испытал соблазн написать: «Если вы хотите управлять конфигурацией браузера из групповой политики, переходите на Firefox». Как может убежденный сторонник групповой политики, такой как я, сделать подобное заявление? Очевидно, что настройка Internet Explorer (IE) с помощью групповой политики всегда отличалась излишней сложностью. .
Выбираем оружие
Как уже отмечалось, существует три основных метода управления конфигурацией IE через групповую политику.
- Параметры административных шаблонов в разделе Computer Configuration (или User Configuration)\Administrative Templates\Windows Components\Internet Explorer. Эти параметры представляют собой типовые блокировки, задаваемые через административные шаблоны. Назначенные таким образом параметры IE не могут быть изменены пользователем.
- User Configuration\Windows Settings\Internet Explorer Maintenance. Это изначальный механизм для настройки IE через групповую политику. В ранних версиях механизма было много ошибок, а поведение в ходе настройки было непредсказуемым. Версия Windows 7 отличается большей надежностью.
- User Configuration\Preferences\Control Panel Settings\Internet Settings.Метод настройки IE на основе предпочтений групповой политики ликвидирует пробел двух предшествующих методов, но не распространяется на некоторые важные области.
Поэтому в большинстве случаев решить задачу с использованием лишь одного метода не удается. Как правило, приходится использовать два, а иногда и все три метода, чтобы полностью управлять поведением IE на настольных компьютерах и серверах. В статье будут рассмотрены возможности каждого метода и некоторые особенности, о которых нужно помнить в том или ином случае. Кроме того, иногда знакомые мне специалисты применяли иные приемы в обход трех методов. Например, мне приходилось видеть, как, просто составляя сценарии для реестра, удавалось изменить базовые значения параметров IE (например, настройки прокси), не полагаясь на ненадежную политику настроек IE
Политика административных шаблонов
При переходе к новой версии IE на обновляемом компьютере обычно устанавливается новый файл шаблона ADM или ADMX. Уверен, что следующая версия IE 9 ничем не будет отличаться в этом отношении. Если установка выполняется на Windows XP или Windows Server 2003, обновленный файл со всеми необходимыми настройками и именем inetres.adm сохраняется в папке C:\Windows\inf на компьютере, для которого выполняется обновление IE. Вручную скопируйте файл inetres.adm в доменный объект GPO, если требуется выполнить запуск с новыми параметрами. Известно, что в Windows Vista, Windows 7, Windows Server 2008 и Server 2008 R2 используется новый формат файла шаблона ADMX. Поэтому при установке новой версии IE обновленный файл inetres.admx сохраняется в папке C:\Windows\policydefinitions на обновленном компьютере Windows. Если в домене Active Directory (AD) размещено центральное хранилище ADMX Central Store, необходимо вручную скопировать в него файл inetres.adm, перезаписав существующую версию файла.
Преимущества административных шаблонов. Настройки административных шаблонов IE, как и других административных шаблонов, предназначены в первую очередь для того, чтобы принудительно задать поведение пользователей IE. Как правило, пользователи не могут переопределить настройки, сделанные через административные шаблоны IE (флажок затенен или отсутствует соответствующая вкладка). Например, можно скрыть вкладку Security в диалоговом окне свойств обозревателя данной области политик, и пользователь вообще не увидит этих параметров. Все настройки, с помощью которых можно отключить функции настройки IE, обычно находятся в этой области политики (экран 1).
.jpg) |
| Экран 1. Отключение функций IE через политики административных шаблонов |
Как правило, лучше всего использовать административные шаблоны для настройки определенного параметра и удаления этого параметра из меню, чтобы лишить пользователя доступа к нему. В таблице 1 приведен список типовых задач, которые можно выполнить в данной области политики, и указано, как получить доступ к этим параметрам.
| Таблица 1. Типовые задачи административных шаблонов |
.jpg) |
Недостатки административных шаблонов. Самый крупный недостаток административных шаблонов IE заключается в невозможности их использования для настройки многих аспектов поведения IE. Среди элементов, которые нельзя настроить, — домашняя страница и диалоговое окно свойств обозревателя (в меню Tools). Кроме того, от административных шаблонов IE мало проку, если нужно настроить параметр, предоставив пользователю возможность изменить его, так как заданные с их помощью значения не могут быть пересмотрены пользователями.
Политики настройки IE
Как я уже говорил, мое отношение к этой области политик неоднозначно. В старых версиях политик настройки IE содержалось очень много ошибок, приводивших к массе неудобств. Тем не менее механизм обеспечивал единственный метод на основе политик для настройки таких параметров, как адреса прокси, пока не появились параметры обозревателя в предпочтениях групповой политики. Кроме того, это по-прежнему единственный способ назначить сайты зонам, который не мешает пользователям добавлять собственные сайты в зоны по мере необходимости.
Однако в политиках настройки IE сохранились досадные изъяны. Если в ходе первоначального определения политики настройки IE нужно назначить, например, параметры безопасности, следует открыть интерфейс редактора групповой политики (GPE) и найти диалоговое окно, похожее на показанное на экране 2.
.jpg) |
| Экран 2. Импорт параметров безопасности IE политики настройки IE |
Очень важно освоить этот на первый взгляд простой интерфейс. Если нужно импортировать настройки в политику, все без исключения текущие параметры безопасности обозревателя с компьютера, на котором выполняется редактирование GPO, импортируются в инструмент IE Maintenance. Если перейти к другому компьютеру с другой версией Windows, эти параметры IE будут импортированы в политику. Если на втором компьютере установлена иная версия IE, можно увидеть и другие параметры. Это может привести ко множеству непредвиденных последствий. Поэтому настоятельно рекомендуется всегда создавать и редактировать политику настройки IE на том же компьютере или по крайней мере в той же версии Windows и IE. В большинстве случаев параметры из новых версий Windows (например, Windows 7 и IE 8) совместимы сверху вниз (то есть зона надежных сайтов, назначенная из политики настройки IE в Windows 7 и IE 8, будет действовать на компьютере с XP SP3 и IE 7), но всегда полезно протестировать любые параметры.
Преимущества политики настройки IE. В целом я рекомендую использовать этот инструмент для управления настройками, недоступными для других методов. Политики настройки IE в действительности не политики, поскольку не мешают пользователям изменять заданные администратором параметры. Чтобы запретить пользователю изменять эти параметры, применяйте ограничения, о которых шла речь в разделе по административным шаблонам. Например, если политики настройки IE используются для настройки прокси, необходимо включить политику User Configuration\Administrative Templates\Windows Components\Internet Explorer\Disable Changing Proxy Settings. Политику настройки IE можно рассматривать как способ назначения предпочтений, которые пользователь может изменить, если это не запрещено. Однако эти предпочтения принудительно применяются при всяком обновлении групповой политики, если явно не использовать политики настройки IE в режиме предпочтений, которые можно включить, щелкнув правой кнопкой мыши узел Internet Explorer Maintenance в редакторе GPE и выбрав соответствующий вариант. Если режим предпочтений включен, предпочтения политики настройки IE применяются к пользователю один раз, и никогда более.
В таблице 2 приведены области, для управления которыми обычно применятся политики настройки IE.
| Таблица 2. Типовые задачи настройки IE |
.jpg) |
Недостатки политик настройки IE. Уже отмечалось, что политики настройки IE — неудачный выбор для многих конфигураций IE, так как настройки будут применяться безусловно, только если отключить соответствующие элементы пользовательского интерфейса с применением административных шаблонов. Если часть параметров IE нужно задать из политик настройки IE (например, конфиденциальность), помните, что поведение этой политики не всегда надежно. Если выясняется, что пользователи не получают необходимых настроек, попробуйте выполнить команду Gpupdate/force на клиентской рабочей станции каждого пользователя, столкнувшегося с проблемами. Таким образом иногда удается добиться от политики настройки IE желаемого результата. Кроме того, политики настройки IE автоматически ведут журнал диагностики в файле brndlog.txt в %userprofile\Appdata\local\Microsoft\Internet Explorer (Windows 7) или %userprofile%\application data\Microsoft\Internet Explorer (в XP), как показано на экране 3.
.jpg) |
| Экран 3. Просмотр журнала политики настройки IE в файле brndlog.txt |
Параметры обозревателя в предпочтениях групповой политики
Предпочтения групповой политики — сравнительно новый компонент групповой политики, появившийся в версии Server 2008. Чтобы задействовать этот компонент, необязательно иметь Server 2008: любой клиент с операционной системой XP или более новой может обрабатывать предпочтения групповой политики с использованием расширений Group Policy Preferences Client Side Extensions. Однако необходим по крайней мере один компьютер Server 2008, Server 2008 R2, Windows 7 или Vista, чтобы управлять предпочтениями групповой политики. Компьютеры XP или Windows Server 2003 для этого не годятся. В новейшей реализации предпочтений групповой политики в составе Windows 7 и Server 2008 R2 обеспечивается настройка IE 5, IE 6, IE 7 и IE 8. Полагаю, что, выпуская IE 9, компания Microsoft обновит предпочтения групповой политики для совместимости и с этой версией (хотя потребителям, возможно, придется дождаться выпуска новой версии операционной системы).
Впечатление от параметров обозревателя (Internet Settings) необычное. Как видно из названия, многие из этих параметров, в сущности, предпочтения, которые задают, но не применяют в обязательном порядке настройки IE, как и политики настройки IE. С другой стороны, область параметров обозревателя предпочтений групповой политики обеспечивает некоторые возможности, которых нет в политиках настройки IE, в частности назначение на уровне элемента (Item-Level Targeting), типичное для всех предпочтений групповой политики, с помощью которой можно назначать предпочтения по очень точным критериям (например, по версии операционной системы или категории ноутбук — настольный компьютер). Кроме того, обеспечиваются некоторые возможности управления IE, отсутствующие в упомянутых выше областях политики. Некоторые из этих областей показаны в таблице 3.
| Таблица 3. Типовые задачи. Параметры обозревателя в предпочтениях групповой политики |
.jpg) |
Преимущества параметров обозревателя в предпочтениях групповой политики. Возможность выбирать целевые объекты на уровне элементов — значительное преимущество при использовании параметров обозревателя в предпочтениях групповой политики, если администратору требуется высокая степень точности при выборе целевых настроек IE. Параметры обозревателя в предпочтениях групповой политики также обеспечивают гораздо более удобный пользовательский интерфейс в редакторе GPE, буквально воспроизводя вкладки настроек для каждой совместимой версии IE. В едином пользовательском интерфейсе явно поддерживаются различные параметры конфигурации IE для последних четырех крупных версий IE; в двух других областях политики добиться этого трудно. Наконец, как показано в приведенной выше таблице, это единственная область политики, в которой можно настроить все параметры на вкладке Advanced в диалоговом окне свойств обозревателя.
Недостатки параметров обозревателя в предпочтениях групповой политики. Подобно политикам настройки IE, параметры обозревателя в предпочтениях групповой политики задают, но не применяют настройки IE принудительно. По-прежнему необходимо задействовать административные шаблоны для блокирования областей пользовательского интерфейса, настроенных через предпочтения групповой политики. Кроме того, отмечаются досадные несогласованности между поддерживаемыми настройками. Например, на вкладке Security можно указать уровни зон (высокий, умеренно высокий), но нельзя задать распределение сайтов по зонам на этой же странице — по необъяснимой причине они недоступны (затенены). То же самое относится к вкладке Privacy, где можно настроить всплывающие окна: разрешены настройки для управления списками, но не для обработки cookie. Можно только предположить, что такой подход избран, чтобы не усложнять и без того запутанную настройку IE в двух других областях.
Укрощение IE
Картина политик для настройки IE далеко не ясна. Например, Microsoft, к сожалению, не использует предпочтения групповой политики как платформу, чтобы обеспечить доступ ко всем параметрам настройки IE и прояснить их реализацию. Поэтому необходимо осторожно комбинировать три различные области политики. Если же возможности этих трех областей не удовлетворяют требованиям, можно применить для настройки IE сценарии для реестра или пакет IE Administration Kit (IEAK).
Читайте также: