Назад | Перейти на главную страницу

На сервере служб терминалов windows 2008 как можно снизить параметры безопасности пользователей

Я снова пытаюсь ответить на этот вопрос, потому что, очевидно, он не продемонстрировал достаточных усилий для решения проблемы, поэтому я перечислю шаг за шагом, что я сделал, а что не работает. Если вы сомневаетесь в уровне усилий, которые я прилагал к этой проблеме в течение 2 дней (другие вещи мешали), и почти все усилия и поиск чего-то приводят к документации, которая касается другой версии сервера, другого настройка (обычно с Active Directory) и ровно ноль полезной информации о том, что в целом действительно должно быть установлено, чтобы это работало.

Конечный результат, который мне нужен, это то, что для пользователей безопасность Internet Explorer установлена ​​на средний уровень. Это связано с тем, что QuickBooks, который пользователи используют для запуска этого сервера, настаивает на использовании IE и жалуется на высокие настройки, поэтому наше обычное решение для обхода проблемы безопасности Windows IE недоступно (наше обычное решение - просто установить Chrome для них).

Результат должен включать понимание QuickBooks, что это настройка.

У меня Windows Server 2008 R2 с включенными терминальными службами. На этом сервере нет Active Directory. Версия Internet Explorer - 11.0.2. В первую очередь, мы являемся магазином Linux на стороне сервера, и для этой цели у нас есть только небольшой сервер Windows.

Используя локальный редактор объектов групповой политики для определенного пользователя (это текущее состояние, я пробовал сделать это для политики локального компьютера, как в конфигурации компьютера, так и в конфигурации пользователя) в разделе Конфигурация пользователя / Компоненты Windows / Internet Explorer / Панель управления Интернетом / Страница безопасности, Блокируемая Интернет-зона и шаблоны Интернет-зоны настроены на «включено» и «среднее значение».

Пользователь вышел из системы и снова вошел в систему, чтобы активировать политику (это то, что я обнаружил, что необходимо сделать, но я могу ошибаться в этом).

Решение, которое позволяет пользователю редактировать вкладку, тоже подойдет, но я нигде не вижу такой возможности. Встроенное описание на странице «Отключить безопасность» панели управления Интернетом в разделе «Зоны безопасности: не разрешать пользователям изменять политики». Я наконец нашел эту политику, и ее отключение не повлияло на ситуацию, поэтому очевидно, что что-то еще блокирует ее, но я понятия не имею, что именно.

На этом этапе настройки остаются на высоком уровне на вкладке Инструменты-> Параметры-> Безопасность в Internet Explorer для пользователя, и QuickBooks продолжает определять их на таком высоком уровне. Пользователь по-прежнему не может редактировать вкладку безопасности, даже несмотря на то, что нет настройки, касающейся отключения активной вкладки безопасности (и я не могу найти соответствующего включения вкладки или предоставления пользователю прав для управления ею).

Все советы до сих пор были в основном неточными, поскольку они переходят к тому, как обстоят дела в Active Directory - а это не одно и то же. Базовый параметр или структура групповой политики может быть таким же, но это не очевидно для меня, и я не согласен с тем, что такой уровень знакомства необходим для того, чтобы задать вопрос, особенно когда вы так же легко можете попасться из-за недостатка знаний за то, что вы ошиблись.

Итак, где же параметр (да, этот комментарий вызвал у меня всю горячую воду в последней версии, но он снова есть), чтобы включить более низкий уровень безопасности в Internet Explorer для пользователей без прав администратора или позволить пользователям устанавливать его самостоятельно? Я не могу его найти, и это не из-за отсутствия попыток или потому, что я не понимаю основ системного администрирования (хотя я с готовностью признаю, что не являюсь экспертом, и особенно не в системном администрировании Windows Server). Групповая политика представляет собой дерево из десятков тысяч настроек, и неясно, какой параметр правильный.

Этот пользователь имеет тот же тип проблемы, но в этом потоке нет разрешения.

Запуск rsop.msc для учетной записи пользователя показывает, что политика включена должным образом. Но поведение компьютера не совпадает.

Я предлагаю использовать групповую политику и Расширение обслуживания Internet Explorer для этого.

  1. Создайте GPO для своих настроек IE, свяжите его с OU служб терминалов. (пример: Настройки сервера терминалов IE)
  2. Откройте GPO для настроек IE
  3. Перейдите в: Конфигурация пользователя \ Политики \ Параметры Windows \ Обслуживание Internet Explorer \ Безопасность.
  4. Измените настройки и нажмите ОК.
  5. Протестируйте, запустив gpupdate / force или выйдите из системы / на сервере терминалов.

Для локальной групповой политики на вашем сервере откройте редактор объектов групповой политики. (Пуск> выполнить> mmc> Добавить / удалить оснастки> Редактор объектов групповой политики)

Перейдите к \Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page

На правой панели вы увидите шаблон зоны Интернета. Щелкните правой кнопкой мыши, чтобы отредактировать шаблон. Выбрать включить и из раскрывающегося списка вы можете выбрать настройку уровня безопасности. Этот же процесс работает и для зоны интрасети.

Также отключение конфигурации усиленной безопасности IE позволит вам изменить зону Интернета. Диспетчер сервера> Настройте IE ESC в разделе Информация о безопасности: