Site to Zone Assignment list и Internet Explorer с включенной Enhanced Security Configuration

    Столкнулся недавно с проблемой что IE не хотел правильно принимать настройки локальной групповой политики Site to Zone Assignment list. Проблема проявлялась следующим образом:
    При несконфигурированной политике список доверенных сайтов был по умолчанию, что логично.


    А при сконфигурированной — пуст.



    При этом сама политика была совсем не пуста.


    Как оказалось — политика применялась правильно только в том случае, если режим ESC был отключен. Теперь надо было разобраться как заставить политику работать и при включенном ESC. К сожалению гуглинг ни к чему не привел, так как большинство предпочитает отключать ESC и соответственно с подобной проблемой не сталкивается. К счастью нашлась статья, из которой следовало что IE хранит информацию о привязке сайтов к зонам в разных ветках реестра в зависимости от того включена ESC или нет. Было решено сравнить схему ключей реестра групповой политики и обычных настроек IE. В той же статье были указаны как ветвь реестра настроек IE:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\

    Так и ветвь реестра настроек групповой политики:

     HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    Было обнаружено что настройки IE включают две подветви: Domains и EscDomains.


    В тоже время ветвь групповой политики может похвастаться только подветвью Domains, а EscDomains отсутствует.


    Было решено повторить структуру ветвей и ключей Domains во вручную созданной ветви EscDomains.


    Проверяем — проблема решена.

    Средняя зарплата в IT

    111 111 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 6 844 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 7

      0
      Чёрт, кто бы мог подумать, IE хранит настройки в реестре! Спасибо Кэп!
        0
        Статья немного не о том. Если после прочтения статьи у вас остались вопросы — задавайте, я постараюсь на них ответить.
          0
          В чем решение проблемы то? Ногами пробежаться по серверам и руками скопировать ветку реестра? Довольно странное решение.
        0
        Суть проблемы не раскрыта, а именно почему GPO не срабатывает автоматически. То есть, найденное решение — это руками править реестр. Грустно — очередной костыль.
          +1
          Суть проблемы — IE имеет две параллельных site to zone списка: один для включенного ESC, другой для выключенного ESC.
          При настройке политики создается «референсный» список только для режима с выключенным ESC, а для режима с включенным ESC — нет. Его мы вручную и создаем. И именно в ветви политики, а не в ветви финальных настроек, т.е в одном месте для всех пользователей.

          На вопрос «Почему так?» у меня ответа нет. Возможно баг, а возможно они планоривали иметь две разных политики — по одной для каждого режима, но что-то пошло не так.
            0
            Сначала думал, что дело в старой версии браузера, но нет.
            Проверил на 2012R2 сервере в 11-ом ie — такой же пустой список.
          0
          Не лучше был бы скрипт, который копирует содержимое Domain в EscDomain, и применяемый групповой политикой? Издержек на сопровождение меньше.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое