Назад | Перейти на главную страницу

Параметры безопасности по умолчанию для групповой политики Internet Explorer?

После переустановки нашего Контроллера домена (Windows Server 2008R2) и повторного создания всех наших групповых политик я наткнулся на странную проблему.

Когда пользователь входит в систему и не выходит в Интернет, его javascript отключается, потому что зоны безопасности установлены на высокий уровень. Затем пользователь должен сбросить зоны до уровня безопасности по умолчанию, а затем обновить страницу. Им нужно делать это почти каждый раз при загрузке IE.

Я установил DC до того, как GPO принудительно установил зону безопасности, и я помню, что IE не позволял пользователю сбрасывать зоны по умолчанию. Это в сочетании с тем фактом, что я не установил никаких параметров зон безопасности ни для одного из новых объектов групповой политики, приводит к выводу, что, может быть, мне нужно явно установить параметры безопасности по умолчанию через GPO?

Есть способ сделать это? Может быть, используя настройки GP? Все рабочие станции работают под управлением как минимум IE7 и Windows XP Pro SP3.

Чтобы помочь объяснить проблему, это экран, используемый для сброса настроек безопасности:

Почему бы вам не использовать административные шаблоны IE для настройки безопасности зоны по своему усмотрению?

  1. Создайте новый объект групповой политики и свяжите его на уровне / подразделении, где его будут получать пользователи.
  2. Просмотрите Конфигурацию пользователя \ Политики \ Административные шаблоны \ Компоненты Windows \ Internet Explorer \ Панель управления Интернетом \ Страница безопасности в GPO.
  3. Выберите каждую зону (например, запись «шаблон интернет-зоны») и сбросьте безопасность для зоны на желаемый уровень («например, средний»). Это настроит все вложенные записи в GPO для зоны (например, если это делается для зоны Интернета, в «Конфигурация пользователя \ Политики \ Административные шаблоны \ Компоненты Windows \ Internet Explorer \ Панель управления Интернетом \ Страница безопасности \ Зона Интернета»

Главное, что нужно помнить здесь, - это порядок обработки GPO. Я понятия не имею, выполняли ли вы gpresult на стороне клиента или с помощью "результатов групповой политики" GPMC просматривали данные RSOP для затронутого пользователя на компьютере. Это позволило бы показать общий чистый результат всех групповых политик, действующих для пользователя, и показать, отвечают ли какие-либо объекты групповой политики в настоящее время за отключение javascript.

Если вы свяжете свою политику с обработкой до того, как какой-либо другой существующий объект групповой политики отключит javascript, это не поможет. Вам необходимо убедиться, что этот объект групповой политики обрабатывается в последнюю очередь. В зависимости от того, используете ли вы политики с обратной связью (и их режим), это может означать привязку к пути, в котором находится пользователь или компьютер.