Управление IE10 при помощи групповых политик в среде Windows 2008 R2/Windows 7

Не так давно Microsoft сделала доступной версию Internet Explorer 10 для windows 7. Начитавшись различных хвалебных статей о его быстроте, я решил посмотреть на это своими глазами и для начала установил его себе на рабочее место. Потренировавшись на кошках, пришел к выводу, что субъективно он действительно работает быстрее, чем IE9 и уж тем более IE8, и собрался уже было приступить к развертыванию его на всех компьютерах предприятия, как внезапно обнаружил, что на IE10 почему-то не действуют мои старые групповые политики и, более того, в редакторе групповых политик на моем компьютере исчез узел “Настройка Internet Explorer”/“Internet Explorer Maintenance” (IEM).

Обратился к технетам, где удалось обнаружить следующее:

В Windows 8 с Internet Explorer 10 мы отказались от IEM в пользу более надежного инструмента "Предпочтения групповой политики". Администраторы также могут использовать пакет администрирования Internet Explorer (IEAK), чтобы настраивать конкретные параметры. В следующей таблице перечислены параметры, доступные в компоненте "Настройка Internet Explorer" (IEM), и способы управления этими параметрами в компонентах "Предпочтения групповой политики" или IEAK.

AFAIK, это верно для IE10 под любой ОС (Windows 7,8), главное в этой фразе то, что при использовании IE10 вы можете забыть о IEM Печальная рожица. Как же теперь управлять IE? MS говорит, что у нас теперь два пути: использовать IEAK или использовать GPP. Что нам предлагает IEAK? Создать предварительно настроенный пакет msi, содержащий сам IE10 + наши предустановки для IE10, либо только предустановки. Потом можно назначить эти пакеты для установки средствами групповых политик, например. Но это значит, что изменения в настройки IE на клиентских машинах я могу вносить только во время Logon’а/Startup’а, что  мне не подходит, ибо хотелось бы, чтобы некоторые настройки применялись (возвращались к заданным мной значениям) во время фонового обновления групповых политик или форсировано по соответствующей команде. Значит, остается еще вариант с GPP, но тут мы наталкиваемся на новое препятствие: после установки IE в редакторе групповой политики удаляется узел IEM, однако GPP для IE10 почему-то не появляется, что на мой взгляд нелогично. Может быть можно использовать настройки GPP “Internet Explorer 8” для управления IE10? Судя по тому, что пишет MS, это невозможно:

Наличие зависимостей
Элементы предпочтения Internet Explorer 8 могут использоваться для управления параметрами браузера только в Internet Explorer 8. Для управлениями параметрами браузера более ранних версий Internet Explorer используйте элементы предпочтения для Internet Explorer 7 или Internet Explorer 5 и 6.

На всякий случай проверил: в штатном режиме – нельзя (не работает). Так, что дальше? Можно, конечно, попробовать рулить при помощи административных шаблонов и/или внесения изменений в реестр, но это не очень удобно (вернее совсем не удобно, на мой взгляд). Можно использовать Windows 8 для редактирования политики (в этой версии ОС присутствует возможность создания GPP для IE10 (но у меня нет ни одной машины с windows 8). Что же делать? Оказывается, можно, немного допилив напильником, заставить применяться GPP Internet Explorer 8 и для более поздних версий IE. И так, находим на контроллере домена в папочке с политикой, в которой мы настраивали GPP Internet Explorer 8, файлик InternetSettings.xml, открываем его  в редакторе (например, в блокноте) и заменяем в нем параметр max=9.0.0.0 на max=11.0.0.0, разрешая тем самым применять настройки GPP для версий IE вплоть до 11. Проверяем – работает!

Надо, конечно, понимать, что
а) способ нештатный
б) настройки GPP для IE8 в лучшем случае являются лишь подмножеством настроек для IE10,
в) а в худшем случае какие-либо параметры могут вообще не являться подмножеством настроек IE10

Все? Не совсем. К сожалению, GPP (по крайней мере та, что мне доступна: GPP для IE8) не является полноценной заменой для IEM (например, в ней невозможно задать список сайтов, наполняющих ту или иную зону безопасности). Существуют ли другие способы для формирования этих списков средствами групповых политик? Да, есть несколько вариантов, например:

Логон скрипты отметаем сразу, по той же причине, что и IEAK. Из оставшихся двух вариантов стоило бы предпочесть административные шаблоны, но, к сожалению, после применения политики, настроенной при помощи вышеназванного административного шаблона, пользователь теряет возможность вносить изменения в перечень узлов зон безопасности, а мне нужно оставить пользователям такую возможность. Посему остается вариант с внесением изменений в реестр при помощи групповых политик.

Административный шаблон “Site to Zone Assignment List” используется для внесения изменений в одну из следующую ветку реестра:

  • HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap (для конфигурации компьютера)
  • HKCU\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey (для конфигурации пользователя)

Мы же будем вносить изменения в следующие ветки реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains (здесь хранится перечень доменных имен, которые приписаны к той или иной зоне безопасности IE)

Reg_IE_ZoneMap_Domains

На приведенном выше скриншоте видно несколько доменных имен (или имен хостов), которые на моем компьютере внесены в список той или иной зоны безопасности. Так сайт *.kontur-extern.ru относится ко второй зоне безопасности.  Всего таких зон – четыре: 1 – Intranet/Местная интрасеть, 2 – Trusted Sites/Надежные сайты, 3 – Internet/Интернет, 4 – Restricted Sites/Опасные сайты.

Если мы используем не только  имена доменов/хостов, но и диапазоны IP-адресов, то нам также придется вносить аналогичные изменения в следующую ветку реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges..

Для того, чтобы не заниматься обильным и однообразным копипастом разделов реестра в редакторе политик, можно воспользоваться “Мастером реестра”, доступном в разделе “Ресстр” GPP, благодаря которому мы можем, взяв за образец нужные нам разделы реестра, перенести их содержимое в политику за один раз.

Ну и наконец, т.к. IE10 будет устанавливаться поэтапно было бы неплохо прикрутить фильтр к созданной политике так, чтобы она применялась только к пользователям, на компьютере которых установлен IE10 (к остальным компьютерам с IE более ранних версий будет применяться старая политика на основе IEM). Для этого я использовал следующий WMI-фильтр: SELECT HotFixID FROM Win32_QuickFixEngineering WHERE HotFixID = "KB2718695"

Вот теперь все, надеюсь ничего не забыл.

Upd [2013/04/03] Так, что-то я сразу не сообразил, что можно обойтись без WMI-фильтра, а вместо этого подправить в InternetSettings.xml не только параметр max=, но и min=.

Upd [2013/08/05] Если кому-то потребуется распространять на компьютеры пользователей содержимое папок “Избранное” (такая возможность так же была в IEM), то теперь это можно проделать при помощи GPP, см. картинку:

Favorites_through_gpp

3 Comments

    • Посмотрел свои настройки, визуально отличаются от ваших только тем, что на вкладке LAN Settings у меня указан адрес и порт прокси-сервера.
      Что касается траблшутинга, то варианты легко гугляться, например: http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat.aspx

      Варианты тут какие? Политика применяется на клиенте без ошибок, но применяемый объект gpo не содержит искомых настроек. Возможно, что причины в AD (репликация не работает, а политика применяется с того DC, где этих настроек в gpo нет). Вариант другой: на клиента прилетает правильная политика, но она почему-то не применяется. Тут причины могут быть разные. Мне, например, встречался случай, когда объект gpo в sysvol имел атрибут только для чтения и применялся на клиенте только один (первый) раз. После этого все остальные попытки применения измененного объекта gpo терпели неудачу, т.к. клиент хранил кэш примененного объекта, который не мог перезаписать из-за наличия атрибута RO.
      В общем смотрите логи, повышайте уровень протоколирования, включайте дополнительное логирование применения политик и т.д. и т.п.

Leave a Reply

Your email address will not be published. Required fields are marked *

Notify me of followup comments via e-mail. You can also subscribe without commenting.