Dshuffin Oct 16 2016 at 19:25

Site to Zone Assignment list и Internet Explorer с включенной Enhanced Security Configuration

1 min

7.3K

Server Administration*System administration*

Comments 7

2PAE Oct 17 2016 at 03:39

Чёрт, кто бы мог подумать, IE хранит настройки в реестре! Спасибо Кэп!

Dshuffin Oct 17 2016 at 07:53

Статья немного не о том. Если после прочтения статьи у вас остались вопросы — задавайте, я постараюсь на них ответить.

Sleuthhound Oct 17 2016 at 18:10

В чем решение проблемы то? Ногами пробежаться по серверам и руками скопировать ветку реестра? Довольно странное решение.

olegbukatchuk Oct 17 2016 at 07:41

Суть проблемы не раскрыта, а именно почему GPO не срабатывает автоматически. То есть, найденное решение — это руками править реестр. Грустно — очередной костыль.

Dshuffin Oct 17 2016 at 07:51

Суть проблемы — IE имеет две параллельных site to zone списка: один для включенного ESC, другой для выключенного ESC.
При настройке политики создается «референсный» список только для режима с выключенным ESC, а для режима с включенным ESC — нет. Его мы вручную и создаем. И именно в ветви политики, а не в ветви финальных настроек, т.е в одном месте для всех пользователей.

На вопрос «Почему так?» у меня ответа нет. Возможно баг, а возможно они планоривали иметь две разных политики — по одной для каждого режима, но что-то пошло не так.

rughost Oct 17 2016 at 08:39

Сначала думал, что дело в старой версии браузера, но нет.
Проверил на 2012R2 сервере в 11-ом ie — такой же пустой список.

gotch Oct 17 2016 at 10:33

Не лучше был бы скрипт, который копирует содержимое Domain в EscDomain, и применяемый групповой политикой? Издержек на сопровождение меньше.