Меню

Интернет эксплорер настройка политик



Настройка Internet Explorer 11 с помощью GPO в домене

Изначально для централизованной настройки параметров Internet Explorer (чаще всего настраиваются параметры прокси-сервера) групповой политикой в доменной среде использовалась политика Internet Explorer Maintenance, которая находилась в пользовательском разделе GPO: User configuration –> Policies –> Windows Settings –> Internet Explorer Maintenance. Но в Windows Server 2012 / Windows 8 разработчики Microsoft решили изменить подход к настройке параметров IE с помощью GPO и полностью убрали раздел Internet Explorer Maintenance из консоли редактора групповых политик.

Привычный раздел групповых политик Internet Explorer Maintenance (IEM) также пропадает и в Windows 7 / Windows Server 2008 R2 после установки браузера Internet Explorer 10 или IE 11 (в котором появился полезный режим совместимости Enterprise Mode). И если даже на компьютер с IE 10 / 11 продолжает действовать старая политика с IEM, применяться она не будет.

Попытки отыскать новое местоположение раздела с настройками IE в редакторе GPO на Windows Server 2012 R2 с помощью поиска по GPO ничего не дают. Каким же образом инженеры Microsoft предполагают в дальнейшем настраивать параметры браузера (в т.ч. прокси сервера) для Internet Explorer? Как оказалось, теперь это возможно сделать через предпочтения групповых политик GPP (Group Policy Preferences) или же специальное расширение Internet Explorer Administration Kit 11 (IEAK 11).

Откройте консоль редактора GPO (Group Policy Management Console – GPMC.msc) и перейдите в раздел User Configuration -> Preferences -> Control Panel Settings -> Internet Settings. В контекстном меню выберите пункт New -> и укажите версию IE, для которой нужно задать настройки.

Доступны настройки для следующих версий IE:

  • Internet Explorer 5 и 6
  • Internet Explorer 7
  • Internet Explorer 8 и 9
  • Internet Explorer 10

Создадим политику для IE 10 (и выше).
Как вы видите, процесс настройки параметров IE стал более удобным. Параметры IE в предпочтениях групповой политики воспроизводят вкладки настроек для каждой совместимой версии IE.

Укажем домашнюю страницу (Вкладка General, поле Home page).

Важно. Не достаточно просто сохранить внесенные изменения в редакторе политики. Обратите внимание на красные и зеленые подчеркивания у настраиваемых параметров IE. Красное подчеркивание говорит о том, , что эта настройка не будет применяться. Чтобы применить конкретную настройку, нажмите F5. Зеленое подчеркивание у параметра означает, что этот параметр IE будет применяться через GPP.

Доступные функциональные клавиши

  • F5 – Включить все настройки на текущей вкладке
  • F6 – Включить выбранный параметр
  • F7 – Отключить выбранный параметр
  • F8 – Отключить все настройки на текущей вкладке

Укажем прокси-сервер (Вкладка Connections ->Lan Settings). Прокси сервер можно настроить одним из следующих способов:

  • Automatically detect settings (автоматическое определение настроек с помощью файла wpad.dat)
  • Use automatic configuration script (скрипт автоконфигурации — proxy.pac)
  • Proxy Server (прямое указание адреса прокси сервера в политики – самый простой способ, его и будем использовать)

Ставим галку Use a proxy server for your LAN, а в полях Address и Port соответственно указываем ip/FQDN имя прокси-сервера и порт подключения.

Включив опцию Bypass Proxy Server for Local Addresses можно запретить приложениям (в том числе браузеру) использовать прокси-сервер при доступе к локальным ресурсам (в формате http://intranet). В том случае, если используется адреса вида или http://192.168.20.5, то эти адреса не распознаются системой как локальные. Эти адреса и адреса других ресурсов, для доступа к которым не нужно использовать прокси, нажмите кнопку Advanced и в поле Exceptions введите адреса в формате: 10.*;192.168.*;*.loc;*.contoso.com

После сохранения политики XML файл с заданными настройками браузера можно посмотреть в каталоге политики на контроллере домене

Читайте также:  Ручные настройки интернета мтс для андроид

Осталось назначить политику IE на контейнер с пользователями и обновить политики на них. После применения на компьютерах пользователей должны использоваться новые настройки IE. Чтобы запретить пользователям изменять настройки прокси-сервера, воспользуйтесь этой статьей.

Кроме того, настроить параметры IE можно и через реестр, политиками GPP. К примеру, чтобы включить прокси нужно настроить следующие атрибуты реестра в ветке: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Internet Settings

  • «ProxyEnable»=00000001
  • «ProxyServer»=»192.168.0.33:3128»
  • «ProxyOverride»=»https://*.contoso.com;192.168.*; »

В том случае, если для управления политиками IE вы используете Windows 2008 R2 / Windows 7, то новые политики Internet Settings для IE 10+ в них отображаться не будут. Чтобы исправить проблему, нужно установить на компьютере последнюю версию RSAT, либо последнюю версию административных шаблонов для IE (Administrative Templates for Internet Explorer).

Итак, поведем итоги: параметры браузера IE, начиная с версии 10, теперь не задаются через раздел групповых политик Internet Explorer Maintenance. Вместо него нужно использовать настройки Internet Settings с новым интерфейсом в предпочтениях групповых политик. Т.к. поддержка всех старых версий IE младше 11 окончена, вам не придется создавать отдельные настройки GPP для каждой более старой версии IE.

А как через ГПП запретить смену настроект прокси для обычных юзеров?

Напрямую нельзя. Но в разделе User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer есть политика Prevents users from changing proxy settings.
В принципе тоже самое можно сделать через GPP, внеся в реестр те же изменения, которые вносит политика.

Или настроить прокси через политики, а затем запретить показывать вкладку «Connections»

У меня на контроллерах стоит Windows Server 2008 R2, но у него в настройках обозревателя в разделе User Configuration -> Preferences -> Control Panel Settings -> Internet Settings нет нового пункта Internet Explorer 10, только Internet Explorer 8, видимо нужно что-то обновить, подскажите пожалуйста что именно.

Нужно установить административные шаблоны GPO для Windows Internet Explorer 10 ( Group Policy Administrative Template files for Windows Internet Explorer 10):
_http://www.microsoft.com/en-us/download/details.aspx?id=37009

Добрый день! В соответствии со статьей которую вы предложили для добавления настроек IE 10-11 в GPO Windows Server 2008 R2 нужно скопировать с заменой файлы inetres.admx в папку %SYSTEMROOT%\PolicyDefinitions\ но доступа то туда нет. Даже назначив себя владельцем этой папки доступа туда нет. Как быть то? Как заменить эти файлы?

В общем для кого то может это и очевидно, но для меня нет. Зачем в статье от майкрософт было указано заменить эти файлы я так и не понял, потому что gpmc которая на win server 2008 r2 все равно старая и в Параметры обозревателя так и не появится Internet Explorer 10. Для того что бы нормально настроить 10 и последующие браузеры надо редактировать GPP с новой ОС (кстати что то подобное было в этой статье) например Win 8.1 с установленным RSAT естественно и тогда все будет ок. Спасибо за статью, только с 5 раза вчитался и понял что еще есть заветные клавиши F5 и прочие (тупил час почти почему не применяется), божечки зачем они это придумали. Спасибо.

Отлично, что разобрались сами. Да это не очень очевидно, что нужно править ГПО с машины со свежей версии ОС.

Читайте также:  Настройка интернета по выделенному ip

Привет.
ссылка не работает.
Напиши рабочую ссылку спасибо.

А что если ранее были параметры заданы «User configuration –> Policies –> Windows Settings –> Internet Explorer Maintenance» и теперь этот раздел недоступен — как отменить в текущей политике его значения? (В параметрах значения все еще выводятся) и даже если задать новым способом «User Configuration -> Preferences -> Control Panel Settings -> Internet Settings» то приоритетными параметрами почему-то являются старые и не затираются теми что были внесены по новой схеме. Проблема в том что старого раздела теперь не существует и как настройки из него очистить? Не охота пересоздавать политику заново..

Проблему решил по аналогии с предыдущей проблемой совместимости: с компьютера где XP или 2003 надо открыть нужную политику и там старая ветка «Internet Explorer Maintenance» будет — нажать на нее правой кнопкой и выбрать «сброс параметров обозревателя».

Привет.
Что то я не понял как ты удалил старые значения.
Напиши подробнее. спасибо.

Попробуйте отредактировать политику из старой версии Windows (Windows 7, Windows 2008 R2 и прочее), в них раздел GPO Internet Explorer Maintenance отображается корректно.

Привет.
Это что нужно сделать на каждом компьтере домена?

Нет, достаточно отключить ветку «Internet Explorer Maintenance» один раз в доменной GPO

Привет.
Извини не догоняю(
Открываю xp в домене. Захожу в групповую политику.
Нахожу настройки по iexploera. там в url ничего не указано, и кнопка — сбросить настройки не активна.
А браузер все равно грузит старые адреса.

У вас настройки IE задаются через локальные или доменные GPO?
Мы подразумеваем 2 (доменный) вариант. Старый раздел User configuration –> Policies –> Windows Settings –> Internet Explorer Maintenance будет доступен для редактирования с Windows 7 / 2008 через консоль GPMC.msc с установленным RSAT

Доброго времени суток.
Я тут настроил параметры прокси и в исключениях имеются кириллические домены, в настройках они отображаются нормально, а вот к сожалению на рабочих станциях получаем кракозябры 🙁
Может кто посоветует что можно сделать?

Под кракозябрами подразумевается так называемый Punycod формат? Например, для домена Punycod _президент.рф это будет _xn--d1abbgf6aiiy.xn--p1ai
Или что то нетранслируемое?

Нет не Punycod, происходит отображение в другой кодировке и соответственно исключение не отрабатывает.

Здравствуйте! А как запретить изменять параметры (в частности автоматическое определение параметров) для программ? Некоторые из них (прокси чарли вроде) снимают галочки с настроек, не смотря что они серые (сам пользователь их не может менять)? Ещё в W7 в редакторе групповых политик я не нашёл настроек прокси (применял готовые файлы реестра), это из-за IE10/11 как я понял?

Как через груповые политики задать две стартовые страницы, через сайт все просто с новой строки, но групповых политиках нет такой возможности. Может есть какой-то трюк ?

привет.
В GPO у меня написано каждый сайт с новой строчки и все норм 2 сайта грузится на старте.

А где в ИЕ11 настраивается первоначальный запуск ИЕ ?? Тот который http://c2n.me/3EKiIXg просит выбрать параметры совместимости и безопасности

Помогите пожалуйста, настроен прокси сервер через GPO, не могу отключить. В GPRESULT его видно, а в GPMC.msc не могу найти.

Понять какая GPO меняет тут или иную настройку можно с помощью HTML отчета GPRESULT (gpresult /h c:\tmp\gpreport.html, имя примененной GPOбудет отображаться в пол Winning GPO) или результатов rsop.msc (находите нужную политику и на вкладке Precedence видно какая GPO его применила)

Читайте также:  Видео настройки интернета ростелеком

Я точно знаю какая GPO меняет настройку, в моем случае это default domain policy. Удалять ее нельзя, сбрасывать страшно (dcgpofix не рекомендуют). Как убрать из нее настройки прокси пока не знаю.
Ничего не обнаружил применяя html-отчет gpresult и rsop.msc.
Зато обнаружил настройки прокси в папке SYSVOL контроллера домена, в папке [имя домена]\Policies\<31B2F340-016D-11D2-945F-00C04FB984F9>\USER\Microsoft\IEAK есть файл «install.ins». В нем подредактировал настройки (отключил прокси Proxy_Enable=0). Просто так сохранить файл не получилось, он восстанавливался. Пришлось сделать бакап политики, подредактировать в бакапе и восстановить из бакапа. Обнаружил, что политика работает только на компьютерах с Windows XP. К сожалению на них html-отчет в gpresult недоступен. С параметром /Z вижу настройки прокси, но как их убрать не представляю. *Ниже то что выдает gpresult /z (только то что относится к делу)

Перенаправление папки
———————
Н/Д

Пользовательский интерфейс обозревателя Internet Explorer
———————————————————
GPO: Default Domain Policy
Имя крупного подвижного рисунка: Н/Д
Имя файла крупной эмблемы: Н/Д
Текст заголовка: Н/Д
Текст агента пользователя: Н/Д
Удалить существующие кнопки на панели: Нет

Подключения Internet Explorer
——————————
Прокси-сервер HTTP: 191.168.79.128:3128
Прокси-сервер Secure: 191.168.79.128:3128
Прокси-сервер FTP: 191.168.79.128:3128
Прокси-сервер Gopher: 191.168.79.128:3128
Прокси-сервер Socks: 191.168.79.128:3128
Разрешить автоматическую настройку: Нет
Разрешить использование прокси: Нет
Использовать один прокси-сервер: Да

Адреса Internet Explorer
————————
GPO: Default Domain Policy
Домашняя страница: http://ya.ru/
Адрес страницы поиска: Н/Д
Адрес страницы поддержки: Н/Д

Безопасность Internet Explorer
——————————
Всегда отображаемые сервера: Н/Д
Разрешить перекрытие пароля: Ложь

GPO: Default Domain Policy
Импортировать текущие параметры оценки содержимого: Нет
Импортировать текущие параметры зон безопасности: Нет
Импортировать текущую информацию безопасности Authenticode: Нет
Зафиксировать список заслуживающих доверия издателей: Нет

Программы Internet Explorer
—————————
GPO: Default Domain Policy
Импортировать текущие параметры программ: Нет

Никогда не сталкивался с файлом install.ins. Немного почитал о нем. Судя по описанию он создается при включении политики IE Maintenance и просто хранит ее настройки. Судя по всему у вас там мусор хранится.
Проверьте в консоли GPMC, что <31B2F340-016D-11D2-945F-00C04FB984F9>соответствует политика Default Domain Policy.
Включите в этой политике IE Maintenance и задайте настройки IE. Дождитесь обновления политики на всех DC. Файл install.ins должен обновится. После этого отключите настройки IE в политики, скорее всего файл удалится.

Пробовал все сделать по инструкции, все равно политика не применяется
пишет при gpresult /R
Следующие политики GPO не были приняты, поскольку они отфильтрованы
———————————————————————
IE10_11
Фильтрация: Не применяется (пусто)
Что не хватает не понимаю
Контролеры 2008R2, Машины на win7
подскажите куда копать

Попробуй настроить групповую политику с компьютера / сервера под Windows 8 /2012 / R2 с установленной актуальной версией RSAT

Интересно, а как теперь заставить Internet Explorer быть по умолчанию обозревателем для всех ссылок? При открывании из почты, при нажатии в других приложениях на ссылочные объекты? Даже если есть уже другой браузер, и если его уже поставили по умолчанию в системе?

Хотите задать руками или через GPO?
Какая ОС? В Win 7 можно задать ассоциации тут Control Panel\All Control Panel Items\Default Programs. По типам файлов (Associate a file type or protocol with a program) и в разделе Set your default programs

Источник