При несконфигурированной политике список доверенных сайтов был по умолчанию, что логично.
А при сконфигурированной — пуст.
При этом сама политика была совсем не пуста.
Как оказалось — политика применялась правильно только в том случае, если режим ESC был отключен. Теперь надо было разобраться как заставить политику работать и при включенном ESC. К сожалению гуглинг ни к чему не привел, так как большинство предпочитает отключать ESC и соответственно с подобной проблемой не сталкивается. К счастью нашлась статья, из которой следовало что IE хранит информацию о привязке сайтов к зонам в разных ветках реестра в зависимости от того включена ESC или нет. Было решено сравнить схему ключей реестра групповой политики и обычных настроек IE. В той же статье были указаны как ветвь реестра настроек IE:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
Так и ветвь реестра настроек групповой политики:
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Было обнаружено что настройки IE включают две подветви: Domains и EscDomains.
В тоже время ветвь групповой политики может похвастаться только подветвью Domains, а EscDomains отсутствует.
Было решено повторить структуру ветвей и ключей Domains во вручную созданной ветви EscDomains.
Проверяем — проблема решена.
Комментарии (7)
olegbukatchuk
17.10.2016 10:41Суть проблемы не раскрыта, а именно почему GPO не срабатывает автоматически. То есть, найденное решение — это руками править реестр. Грустно — очередной костыль.
Dshuffin
17.10.2016 10:51+1Суть проблемы — IE имеет две параллельных site to zone списка: один для включенного ESC, другой для выключенного ESC.
При настройке политики создается «референсный» список только для режима с выключенным ESC, а для режима с включенным ESC — нет. Его мы вручную и создаем. И именно в ветви политики, а не в ветви финальных настроек, т.е в одном месте для всех пользователей.
На вопрос «Почему так?» у меня ответа нет. Возможно баг, а возможно они планоривали иметь две разных политики — по одной для каждого режима, но что-то пошло не так.rughost
17.10.2016 11:39Сначала думал, что дело в старой версии браузера, но нет.
Проверил на 2012R2 сервере в 11-ом ie — такой же пустой список.
gotch
17.10.2016 13:33Не лучше был бы скрипт, который копирует содержимое Domain в EscDomain, и применяемый групповой политикой? Издержек на сопровождение меньше.
2PAE
Чёрт, кто бы мог подумать, IE хранит настройки в реестре! Спасибо Кэп!
Dshuffin
Статья немного не о том. Если после прочтения статьи у вас остались вопросы — задавайте, я постараюсь на них ответить.
Sleuthhound
В чем решение проблемы то? Ногами пробежаться по серверам и руками скопировать ветку реестра? Довольно странное решение.