Столкнулся недавно с проблемой что IE не хотел правильно принимать настройки локальной групповой политики Site to Zone Assignment list. Проблема проявлялась следующим образом:
При несконфигурированной политике список доверенных сайтов был по умолчанию, что логично.


А при сконфигурированной — пуст.



При этом сама политика была совсем не пуста.


Как оказалось — политика применялась правильно только в том случае, если режим ESC был отключен. Теперь надо было разобраться как заставить политику работать и при включенном ESC. К сожалению гуглинг ни к чему не привел, так как большинство предпочитает отключать ESC и соответственно с подобной проблемой не сталкивается. К счастью нашлась статья, из которой следовало что IE хранит информацию о привязке сайтов к зонам в разных ветках реестра в зависимости от того включена ESC или нет. Было решено сравнить схему ключей реестра групповой политики и обычных настроек IE. В той же статье были указаны как ветвь реестра настроек IE:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\

Так и ветвь реестра настроек групповой политики:

 HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Было обнаружено что настройки IE включают две подветви: Domains и EscDomains.


В тоже время ветвь групповой политики может похвастаться только подветвью Domains, а EscDomains отсутствует.


Было решено повторить структуру ветвей и ключей Domains во вручную созданной ветви EscDomains.


Проверяем — проблема решена.

Поделиться с друзьями
-->

Комментарии (7)


  1. 2PAE
    17.10.2016 06:39

    Чёрт, кто бы мог подумать, IE хранит настройки в реестре! Спасибо Кэп!


    1. Dshuffin
      17.10.2016 10:53

      Статья немного не о том. Если после прочтения статьи у вас остались вопросы — задавайте, я постараюсь на них ответить.


      1. Sleuthhound
        17.10.2016 21:10

        В чем решение проблемы то? Ногами пробежаться по серверам и руками скопировать ветку реестра? Довольно странное решение.


  1. olegbukatchuk
    17.10.2016 10:41

    Суть проблемы не раскрыта, а именно почему GPO не срабатывает автоматически. То есть, найденное решение — это руками править реестр. Грустно — очередной костыль.


    1. Dshuffin
      17.10.2016 10:51
      +1

      Суть проблемы — IE имеет две параллельных site to zone списка: один для включенного ESC, другой для выключенного ESC.
      При настройке политики создается «референсный» список только для режима с выключенным ESC, а для режима с включенным ESC — нет. Его мы вручную и создаем. И именно в ветви политики, а не в ветви финальных настроек, т.е в одном месте для всех пользователей.

      На вопрос «Почему так?» у меня ответа нет. Возможно баг, а возможно они планоривали иметь две разных политики — по одной для каждого режима, но что-то пошло не так.


      1. rughost
        17.10.2016 11:39

        Сначала думал, что дело в старой версии браузера, но нет.
        Проверил на 2012R2 сервере в 11-ом ie — такой же пустой список.


  1. gotch
    17.10.2016 13:33

    Не лучше был бы скрипт, который копирует содержимое Domain в EscDomain, и применяемый групповой политикой? Издержек на сопровождение меньше.