Конфигурация пользователя политики конфигурация windows настройка internet explorer

Существует не менее трех независимых и иногда конфликтующих методов настройки IE с использованием групповой политики, поэтому было бы явной ошибкой утверждать, что применять эту технологию просто. Но учитывая, как важно защитить IE во многих компаниях, необходимо принять вызов и постараться найти оптимальное решение задачи. В этой статье собраны советы и оптимальные методы навигации по лабиринту управления IE с помощью групповой политики

Существует не менее трех независимых и иногда конфликтующих методов настройки IE с использованием групповой политики, поэтому было бы явной ошибкой утверждать, что применять эту технологию просто. Но учитывая, как важно защитить IE во многих компаниях, необходимо принять вызов и постараться найти оптимальное решение задачи. В этой статье собраны советы и оптимальные методы навигации по лабиринту управления IE с помощью групповой политики

Должен признаться, что, приступая к этой статье, я испытал соблазн написать: «Если вы хотите управлять конфигурацией браузера из групповой политики, переходите на Firefox». Как может убежденный сторонник групповой политики, такой как я, сделать подобное заявление? Очевидно, что настройка Internet Explorer (IE) с помощью групповой политики всегда отличалась излишней сложностью. .

Выбираем оружие

Как уже отмечалось, существует три основных метода управления конфигурацией IE через групповую политику.

  • Параметры административных шаблонов в разделе Computer Configuration (или User Configuration)Administrative TemplatesWindows ComponentsInternet Explorer. Эти параметры представляют собой типовые блокировки, задаваемые через административные шаблоны. Назначенные таким образом параметры IE не могут быть изменены пользователем.
  • User ConfigurationWindows SettingsInternet Explorer Maintenance. Это изначальный механизм для настройки IE через групповую политику. В ранних версиях механизма было много ошибок, а поведение в ходе настройки было непредсказуемым. Версия Windows 7 отличается большей надежностью.
  • User ConfigurationPreferencesControl Panel SettingsInternet Settings. Метод настройки IE на основе предпочтений групповой политики ликвидирует пробел двух предшествующих методов, но не распространяется на некоторые важные области.

Поэтому в большинстве случаев решить задачу с использованием лишь одного метода не удается. Как правило, приходится использовать два, а иногда и все три метода, чтобы полностью управлять поведением IE на настольных компьютерах и серверах. В статье будут рассмотрены возможности каждого метода и некоторые особенности, о которых нужно помнить в том или ином случае. Кроме того, иногда знакомые мне специалисты применяли иные приемы в обход трех методов. Например, мне приходилось видеть, как, просто составляя сценарии для реестра, удавалось изменить базовые значения параметров IE (например, настройки прокси), не полагаясь на ненадежную политику настроек IE

Политика административных шаблонов

Параметры административных шаблонов для IE доступны в разделах Computer Configuration и User Configuration объекта групповой политики (GPO). Поэтому можно настроить их для применения ко всем пользователям данной группы компьютеров (Computer Configuration) или к особому кругу целевых пользователей (User Configuration). Назначая политики отдельным компьютерам и отдельным пользователям, избегайте конфликтов для конкретного пользователя, зарегистрированного на определенном компьютере. В случае конфликта обычно преобладают настройки отдельного компьютера, но так происходит не всегда, поэтому, если конфликт неизбежен, обязательно проверьте поведение. Я обычно определяю только параметры административных шаблонов для отдельных пользователей, особенно если предполагается одновременно использовать и две другие области политики. Эти две политики воздействуют только на отдельных пользователей, и в результате удается более аккуратно направлять политики для IE.

При переходе к новой версии IE на обновляемом компьютере обычно устанавливается новый файл шаблона ADM или ADMX. Уверен, что следующая версия IE 9 ничем не будет отличаться в этом отношении. Если установка выполняется на Windows XP или Windows Server 2003, обновленный файл со всеми необходимыми настройками и именем inetres.adm сохраняется в папке C:Windowsinf на компьютере, для которого выполняется обновление IE. Вручную скопируйте файл inetres.adm в доменный объект GPO, если требуется выполнить запуск с новыми параметрами. Известно, что в Windows Vista, Windows 7, Windows Server 2008 и Server 2008 R2 используется новый формат файла шаблона ADMX. Поэтому при установке новой версии IE обновленный файл inetres.admx сохраняется в папке C:Windowspolicydefinitions на обновленном компьютере Windows. Если в домене Active Directory (AD) размещено центральное хранилище ADMX Central Store, необходимо вручную скопировать в него файл inetres.adm, перезаписав существующую версию файла.

Преимущества административных шаблонов. Настройки административных шаблонов IE, как и других административных шаблонов, предназначены в первую очередь для того, чтобы принудительно задать поведение пользователей IE. Как правило, пользователи не могут переопределить настройки, сделанные через административные шаблоны IE (флажок затенен или отсутствует соответствующая вкладка). Например, можно скрыть вкладку Security в диалоговом окне свойств обозревателя данной области политик, и пользователь вообще не увидит этих параметров. Все настройки, с помощью которых можно отключить функции настройки IE, обычно находятся в этой области политики (экран 1).

Экран 1. Отключение функций IE через политики административных шаблонов

Как правило, лучше всего использовать административные шаблоны для настройки определенного параметра и удаления этого параметра из меню, чтобы лишить пользователя доступа к нему. В таблице 1 приведен список типовых задач, которые можно выполнить в данной области политики, и указано, как получить доступ к этим параметрам.

Таблица 1. Типовые задачи административных шаблонов

Недостатки административных шаблонов. Самый крупный недостаток административных шаблонов IE заключается в невозможности их использования для настройки многих аспектов поведения IE. Среди элементов, которые нельзя настроить, — домашняя страница и диалоговое окно свойств обозревателя (в меню Tools). Кроме того, от административных шаблонов IE мало проку, если нужно настроить параметр, предоставив пользователю возможность изменить его, так как заданные с их помощью значения не могут быть пересмотрены пользователями.

Политики настройки IE

Как я уже говорил, мое отношение к этой области политик неоднозначно. В старых версиях политик настройки IE содержалось очень много ошибок, приводивших к массе неудобств. Тем не менее механизм обеспечивал единственный метод на основе политик для настройки таких параметров, как адреса прокси, пока не появились параметры обозревателя в предпочтениях групповой политики. Кроме того, это по-прежнему единственный способ назначить сайты зонам, который не мешает пользователям добавлять собственные сайты в зоны по мере необходимости.

Однако в политиках настройки IE сохранились досадные изъяны. Если в ходе первоначального определения политики настройки IE нужно назначить, например, параметры безопасности, следует открыть интерфейс редактора групповой политики (GPE) и найти диалоговое окно, похожее на показанное на экране 2.

Экран 2. Импорт параметров безопасности IE политики настройки IE

Очень важно освоить этот на первый взгляд простой интерфейс. Если нужно импортировать настройки в политику, все без исключения текущие параметры безопасности обозревателя с компьютера, на котором выполняется редактирование GPO, импортируются в инструмент IE Maintenance. Если перейти к другому компьютеру с другой версией Windows, эти параметры IE будут импортированы в политику. Если на втором компьютере установлена иная версия IE, можно увидеть и другие параметры. Это может привести ко множеству непредвиденных последствий. Поэтому настоятельно рекомендуется всегда создавать и редактировать политику настройки IE на том же компьютере или по крайней мере в той же версии Windows и IE. В большинстве случаев параметры из новых версий Windows (например, Windows 7 и IE 8) совместимы сверху вниз (то есть зона надежных сайтов, назначенная из политики настройки IE в Windows 7 и IE 8, будет действовать на компьютере с XP SP3 и IE 7), но всегда полезно протестировать любые параметры.

Преимущества политики настройки IE. В целом я рекомендую использовать этот инструмент для управления настройками, недоступными для других методов. Политики настройки IE в действительности не политики, поскольку не мешают пользователям изменять заданные администратором параметры. Чтобы запретить пользователю изменять эти параметры, применяйте ограничения, о которых шла речь в разделе по административным шаблонам. Например, если политики настройки IE используются для настройки прокси, необходимо включить политику User ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerDisable Changing Proxy Settings. Политику настройки IE можно рассматривать как способ назначения предпочтений, которые пользователь может изменить, если это не запрещено. Однако эти предпочтения принудительно применяются при всяком обновлении групповой политики, если явно не использовать политики настройки IE в режиме предпочтений, которые можно включить, щелкнув правой кнопкой мыши узел Internet Explorer Maintenance в редакторе GPE и выбрав соответствующий вариант. Если режим предпочтений включен, предпочтения политики настройки IE применяются к пользователю один раз, и никогда более.

В таблице 2 приведены области, для управления которыми обычно применятся политики настройки IE.

Таблица 2. Типовые задачи настройки IE

Недостатки политик настройки IE. Уже отмечалось, что политики настройки IE — неудачный выбор для многих конфигураций IE, так как настройки будут применяться безусловно, только если отключить соответствующие элементы пользовательского интерфейса с применением административных шаблонов. Если часть параметров IE нужно задать из политик настройки IE (например, конфиденциальность), помните, что поведение этой политики не всегда надежно. Если выясняется, что пользователи не получают необходимых настроек, попробуйте выполнить команду Gpupdate/force на клиентской рабочей станции каждого пользователя, столкнувшегося с проблемами. Таким образом иногда удается добиться от политики настройки IE желаемого результата. Кроме того, политики настройки IE автоматически ведут журнал диагностики в файле brndlog.txt в %userprofileAppdatalocalMicrosoftInternet Explorer (Windows 7) или %userprofile%application dataMicrosoftInternet Explorer (в XP), как показано на экране 3.

Экран 3. Просмотр журнала политики настройки IE в файле brndlog.txt

Параметры обозревателя в предпочтениях групповой политики

Предпочтения групповой политики — сравнительно новый компонент групповой политики, появившийся в версии Server 2008. Чтобы задействовать этот компонент, необязательно иметь Server 2008: любой клиент с операционной системой XP или более новой может обрабатывать предпочтения групповой политики с использованием расширений Group Policy Preferences Client Side Extensions. Однако необходим по крайней мере один компьютер Server 2008, Server 2008 R2, Windows 7 или Vista, чтобы управлять предпочтениями групповой политики. Компьютеры XP или Windows Server 2003 для этого не годятся. В новейшей реализации предпочтений групповой политики в составе Windows 7 и Server 2008 R2 обеспечивается настройка IE 5, IE 6, IE 7 и IE 8. Полагаю, что, выпуская IE 9, компания Microsoft обновит предпочтения групповой политики для совместимости и с этой версией (хотя потребителям, возможно, придется дождаться выпуска новой версии операционной системы).

Впечатление от параметров обозревателя (Internet Settings) необычное. Как видно из названия, многие из этих параметров, в сущности, предпочтения, которые задают, но не применяют в обязательном порядке настройки IE, как и политики настройки IE. С другой стороны, область параметров обозревателя предпочтений групповой политики обеспечивает некоторые возможности, которых нет в политиках настройки IE, в частности назначение на уровне элемента (Item-Level Targeting), типичное для всех предпочтений групповой политики, с помощью которой можно назначать предпочтения по очень точным критериям (например, по версии операционной системы или категории ноутбук — настольный компьютер). Кроме того, обеспечиваются некоторые возможности управления IE, отсутствующие в упомянутых выше областях политики. Некоторые из этих областей показаны в таблице 3.

Таблица 3. Типовые задачи. Параметры обозревателя в предпочтениях групповой политики

Преимущества параметров обозревателя в предпочтениях групповой политики. Возможность выбирать целевые объекты на уровне элементов — значительное преимущество при использовании параметров обозревателя в предпочтениях групповой политики, если администратору требуется высокая степень точности при выборе целевых настроек IE. Параметры обозревателя в предпочтениях групповой политики также обеспечивают гораздо более удобный пользовательский интерфейс в редакторе GPE, буквально воспроизводя вкладки настроек для каждой совместимой версии IE. В едином пользовательском интерфейсе явно поддерживаются различные параметры конфигурации IE для последних четырех крупных версий IE; в двух других областях политики добиться этого трудно. Наконец, как показано в приведенной выше таблице, это единственная область политики, в которой можно настроить все параметры на вкладке Advanced в диалоговом окне свойств обозревателя.

Недостатки параметров обозревателя в предпочтениях групповой политики. Подобно политикам настройки IE, параметры обозревателя в предпочтениях групповой политики задают, но не применяют настройки IE принудительно. По-прежнему необходимо задействовать административные шаблоны для блокирования областей пользовательского интерфейса, настроенных через предпочтения групповой политики. Кроме того, отмечаются досадные несогласованности между поддерживаемыми настройками. Например, на вкладке Security можно указать уровни зон (высокий, умеренно высокий), но нельзя задать распределение сайтов по зонам на этой же странице — по необъяснимой причине они недоступны (затенены). То же самое относится к вкладке Privacy, где можно настроить всплывающие окна: разрешены настройки для управления списками, но не для обработки cookie. Можно только предположить, что такой подход избран, чтобы не усложнять и без того запутанную настройку IE в двух других областях.

Укрощение IE

Картина политик для настройки IE далеко не ясна. Например, Microsoft, к сожалению, не использует предпочтения групповой политики как платформу, чтобы обеспечить доступ ко всем параметрам настройки IE и прояснить их реализацию. Поэтому необходимо осторожно комбинировать три различные области политики. Если же возможности этих трех областей не удовлетворяют требованиям, можно применить для настройки IE сценарии для реестра или пакет IE Administration Kit (IEAK).

Даррен Мар-Элиа (darren@sdmsoftware.com) — внештатный редактор Windows IT Pro, главный инженер и основатель компании SDM Software. Ведет сайт, посвященный проблемам групповых политик (www.gpoguy.com) и является соавтором книги Microsoft Windows Group Policy Guide

  • Remove From My Forums
  • Вопрос

  • 5 лет назад настраивал домен, настраивал в том числе через групповую политику заголовок окна IE и адрес прокси.

    Настройка делалась через «Групповая политика» — «конфигурация пользователя» — «политики» — «конфигурация Windows» — «Натройка Internet Explorer». Здесь указывал стартовую страницу, прокси и прочее. Потребовалось
    нынче кое что поправить, захожу в групповую политику — найти не могу. Думаю, что-то с памятью моей стало, лезу в отчет политики. смотрю путь где настроено, и понимаю что то, что есть в отчете, в списке групповой политике
    отсутствует! При этом данная политика — выполняется и настройка происходит.

    Как так? Где найти и как редактировать эту политику?

    PS контроллер домена W2008R2 SP1

    Из отчета:

    Из списка:

    • Изменено

      28 июля 2015 г. 23:43
      вставка изображений

Ответы

  • это работает на ХР, 7, 8, 8.1, 2003, 2008р2, 2012р2

    как говорилось ранее политика все равно правит значения в реестре, если найдете как решить проблему опубликуйте тут для будущих поколений, если я найду как решить через шаблоны то я ссылку опубликую, но метод редактирования ключей в данном
    случае вполне оправдан


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа
      Petko KrushevMicrosoft contingent staff
      5 августа 2015 г. 6:51

  • Remove From My Forums
  • Question

  • Server 2008, Vista SP1 clients, IE7 (available for IE8 upgrade)

    I have a list of sites that need to be added as trusted sites and a bunch of changes that need to be made to the default settings for trusted sites.

    But, here is the kicker, I need the users to be able to add trusted sites on their own.

Answers

  • Hi,

    The Internet Explorer Maintenance Extension can be used to configure either mandatory or default settings for Internet Explorer. Default settings for Internet Explorer provides users with the same starting configuration for their browsers, but enables them to personalize the configuration.

    For more information about those two modes, please refer to the following article.

    What Is Internet Explorer Maintenance Extension?
    http://technet.microsoft.com/en-us/library/cc728150.aspx

    Try the steps below to configure default settings for Internet Explorer to test.

    1.    Open GPO for IE settings.
    2.    Navigate to:
    User ConfigurationPoliciesWindows Settings Internet Explorer MaintenanceSecurity
    3.    Double-click Security Zones, click Continue if prompted. Click Import the current security zones and privacy settings, click Modify Settings.
    4.    Change settings and click OK. Run «gpupdate /force» and test.

    Thanks.


    This posting is provided «AS IS» with no warranties, and confers no rights.

    • Marked as answer by

      Wednesday, April 1, 2009 1:36 AM

  • I have a 2003/XPSP3 domain but I have done this. Importing the settings via Group Policy — User Configuration — Windows Settings — Internet Explorer Maintenance — Security Zones.

    This imports the settings but doesn’t restrict the users ability to change them after the fact. Eg. My users can add sites etc.

    Cheers,
    Lara


    lforbes

    • Marked as answer by
      Mervyn Zhang
      Wednesday, April 1, 2009 1:36 AM

  • Remove From My Forums
  • Question

  • Server 2008, Vista SP1 clients, IE7 (available for IE8 upgrade)

    I have a list of sites that need to be added as trusted sites and a bunch of changes that need to be made to the default settings for trusted sites.

    But, here is the kicker, I need the users to be able to add trusted sites on their own.

Answers

  • Hi,

    The Internet Explorer Maintenance Extension can be used to configure either mandatory or default settings for Internet Explorer. Default settings for Internet Explorer provides users with the same starting configuration for their browsers, but enables them to personalize the configuration.

    For more information about those two modes, please refer to the following article.

    What Is Internet Explorer Maintenance Extension?
    http://technet.microsoft.com/en-us/library/cc728150.aspx

    Try the steps below to configure default settings for Internet Explorer to test.

    1.    Open GPO for IE settings.
    2.    Navigate to:
    User ConfigurationPoliciesWindows Settings Internet Explorer MaintenanceSecurity
    3.    Double-click Security Zones, click Continue if prompted. Click Import the current security zones and privacy settings, click Modify Settings.
    4.    Change settings and click OK. Run «gpupdate /force» and test.

    Thanks.


    This posting is provided «AS IS» with no warranties, and confers no rights.

    • Marked as answer by

      Wednesday, April 1, 2009 1:36 AM

  • I have a 2003/XPSP3 domain but I have done this. Importing the settings via Group Policy — User Configuration — Windows Settings — Internet Explorer Maintenance — Security Zones.

    This imports the settings but doesn’t restrict the users ability to change them after the fact. Eg. My users can add sites etc.

    Cheers,
    Lara


    lforbes

    • Marked as answer by
      Mervyn Zhang
      Wednesday, April 1, 2009 1:36 AM

В серверных редакциях Windows стандартный браузер Internet Explorer не дает ни зайти в интернет, ни скачать нормальный браузер. В этой статье вы найдете пошаговую инструкцию, как настроить Internet Explorer в Windows Server.

Используя наши VPS, у вас не будет проблем со скачиваем браузера — мы отключили эту политику безопасности в наших образах. Однако, мы сделали это руководство максимально полным и рассказали в том числе и о том, как скачать браузер.

Cамый простой способ скачать браузер — просто скопировать установочный файл

Скачайте нужный вам браузер на ваш компьютер и скопируйте его на сервер с помощью буфера обмена. В нем уже будут все верные настройки безопасности.

Комбинация клавиш Ctrl+C Ctrl+V, или мышкой. 

  • Нажмите правой кнопкой мыши по файлу > Скопировать
  • Нажмите правой кнопкой мыши пустому месту на рабочем столе сервера > Вставить

Internet Explorer в Windows Server. как выглядит меню

Передавать файл нужно с помощью «Копировать – Вставить». Drag and drop с рабочего стола на сервер не работает и никогда не работал.

Как настроить браузер через командную строку

Этот способ тоже очень простой и подойдет всем, кому просто обязательно нужен Internet Explorer. Три команды в Powershell сделают все за вас.

Internet Explorer в Windows Server меню пуск

Откройте Powershell от имени администратора и вставьте каждую команду одну за другой. С помощью Ctrl+C скопируйте команду и с помощью правой кнопки мыши вставьте его в консоль.

Set-ItemProperty -Path "HKLM:SOFTWAREMicrosoftActive SetupInstalled Components{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" -Name "IsInstalled" -Value 0
Set-ItemProperty -Path "HKLM:SOFTWAREMicrosoftActive SetupInstalled Components{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" -Name "IsInstalled" -Value 0
Set-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3" -Name 1803 -Value 0

Вставьте, нажмите Enter и готово, IE вас больше не будет беспокоить.

Как настроить IE с помощью диспетчера серверов

Нажмите на кнопку «Пуск» и выберите диспетчер серверов.

Internet Explorer в Windows Server меню пуск

С левой стороны в диспетчере серверов выберите «Локальный сервер».

Internet Explorer в Windows Server диспетчер задач

В окне «СВОЙСТВА», в самой правой части окна найдите пункт «Конфигурация усиленной безопасности Internet Explorer». Оно может быть скрыто за нижним скроллом, как показано на картинке. Если скрыто, передвиньте нижний слайдер в правую часть.

Internet Explorer в Windows Server как настроить локальный сервер

Нажмите на опцию, правее от «Конфигуарция усиленной безопасности Intenet Explorer».

Internet Explorer в Windows Server настройка локального сервера

Во всплывающем окне отключите все настройки безопасности и примените изменения, нажав на кнопку «ОК». Больше IE вас не будет беспокоить.

На этом настройка Internet Explorer в Windows Server завершена.


Active Directory, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP, Программное обеспечение

  • 28.04.2017
  • 10 517
  • 0
  • 18.03.2019
  • 2
  • 2
  • 0

Устанавливаем домашнюю страницу для Internet Explorer через групповые политики

  • Содержание статьи
    • Если нужно, чтобы пользователи МОГЛИ менять домашнюю страницу:
    • Если нужно, чтобы пользователи НЕ МОГЛИ менять домашнюю страницу:
    • Добавить комментарий

Если вам необходимо поменять домашнюю страницу для Internet Explorer, то нужно сделать следующее:

Если нужно, чтобы пользователи МОГЛИ менять домашнюю страницу:

(подходит для тех случаев, когда вас не устраивает открываемая по умолчанию страница в виде msn.com)

Внимание! После проделанных выше манипуляций, домашние страницы у всех пользователей сбросятся на указанную вами!

В Редакторе групповых политик переходим по следующему пути: Конфигурация пользователя — Настройка — Конфигурация Windows — Реестр (в английской версии этот путь выглядит как «User Configuration — Preferences — Windows Settings — Registry«.

Затем, нажимаем правой кнопкой мыши либо по правой части консоли редактора групповых политик, либо по пункту «Реестр«, и выбираем пункт «Создать — Элемент реестра» (в английской версии — «New — Registry Item«).

В открывшемся окне выбираем:

  • Действие: Обновить
  • Куст = HKEY_CURRENT_USER
  • Путь раздела = SoftwareMicrosoftInternet ExplorerMain
  • Имя параметра = Start Page
  • Тип параметра = REG_SZ
  • Значение = введите нужный адрес (например http://sysadmin.ru)

Затем, переходим на вкладку «Общие параметры» ставим галочку «Применить один раз и не применять повторно». Делается это для того, чтобы данный параметр реестра не применялся каждый раз и не затирал установленную пользователем домашнюю страницу.

Если нужно, чтобы пользователи НЕ МОГЛИ менять домашнюю страницу:

Открываем или создаем нужную групповую политику, и переходим в её настройки по следующему пути: Конфигурация пользователя — Политики — Административные шаблоны — Компоненты Windows — Internet Explorer (в английской версии этот путь выглядит как «User Configuration — Policies — Administrative Templates — Windows Components — Internet Explorer«).

ниже, в строке «Домашняя страница» указываем желаемую домашнюю страницу.

Like this post? Please share to your friends:
  • Конфигурация пользователя настройка конфигурация windows папки
  • Конфигурация пользователя административные шаблоны компоненты windows проводник windows
  • Конфигурация пользователя windows 10 где находится
  • Конфигурация подключения к сети повреждена windows 10
  • Конфигурация операционной системы на рассчитана на запуск этого приложения word windows