Настройка Internet Explorer 11 с помощью GPO в домене

Изначально для централизованной настройки параметров Internet Explorer (чаще всего настраиваются параметры прокси-сервера) групповой политикой в доменной среде использовалась политика Internet Explorer Maintenance, которая находилась в пользовательском разделе GPO: User configuration –> Policies –> Windows Settings –> Internet Explorer Maintenance. Но в Windows Server 2012 / Windows 8 разработчики Microsoft решили изменить подход к настройке параметров IE с помощью GPO и полностью убрали раздел Internet Explorer Maintenance из консоли редактора групповых политик.

Привычный раздел групповых политик Internet Explorer Maintenance (IEM) также пропадает и в Windows 7 / Windows Server 2008 R2 после установки браузера Internet Explorer 10 или IE 11 (в котором появился полезный режим совместимости Enterprise Mode). И если даже на компьютер с IE 10 / 11 продолжает действовать старая политика с IEM, применяться она не будет.

Internet Explorer Maintenance - настройка IE через групповые политики

Важно. С января 2016 года Microsoft прекратила поддержку всех старых версий Internet Explorer ( IE 6, 7, 8, 9, 10) из соображений безопасности. Для старых версий перестали выпускаться обновления и заплатки. Это означает, что на данный момент поддерживается только IE 11, и старые версии IE в любом случае нужно обновлять до версии 11.

Попытки отыскать новое местоположение раздела с настройками IE в редакторе GPO на Windows Server 2012 R2 с помощью поиска по GPO ничего не дают. Каким же образом инженеры Microsoft предполагают в дальнейшем настраивать параметры браузера (в т.ч. прокси сервера) для Internet Explorer? Как оказалось, теперь это возможно сделать через предпочтения групповых политик GPP (Group Policy Preferences) или же специальное расширение Internet Explorer Administration Kit 11 (IEAK 11).

Совет. Предпочтения групповых политик появились в Windows Server 2008. Для работы в XP и Windows Server 2003 требуется установка специального расширения — Group Policy Preferences Client Side Extensions.

Откройте консоль редактора GPO (Group Policy Management Console – GPMC.msc) и перейдите в раздел User Configuration -> Preferences -> Control Panel Settings -> Internet Settings. В контекстном меню выберите пункт New -> и укажите версию IE, для которой нужно задать настройки.

Доступны настройки для следующих версий IE:

  • Internet Explorer 5 и 6
  • Internet Explorer 7
  • Internet Explorer 8 и 9
  • Internet Explorer 10

Group Policy Preferences - Internet Settings - настройка параметров IE

Совет. Несмотря на то, что отдельной настройки для Internet Explorer 11 нет, политика Internet Explorer 10 должна действовать на все версии IE >=10 (в файле политики InternetSettings.xml можно увидеть, что опция действительна для всех версии IE, начиная c 10.0.0.0 и заканчивая 99.0.0.0).

<FilterFile lte=»0″ max=»99.0.0.0″ min=»10.0.0.0″ gte=»1″ type=»VERSION» path=»%ProgramFilesDir%\Internet Explorer\iexplore.exe» bool=»AND» not=»0″ hidden=»1″/>

InternetSettings.xml

Создадим политику для IE 10 (и выше).
Как вы видите, процесс настройки параметров IE стал более удобным. Параметры IE в предпочтениях групповой политики воспроизводят вкладки настроек для каждой совместимой версии IE.

Укажем домашнюю страницу (Вкладка General, поле Home page).

ie10 настройка домашней страницы

Важно. Не достаточно просто сохранить внесенные изменения в редакторе политики. Обратите внимание на красные и зеленые подчеркивания у настраиваемых параметров IE. Красное подчеркивание говорит о том, , что эта настройка не будет применяться. Чтобы применить конкретную настройку, нажмите F5. Зеленое подчеркивание у параметра означает, что этот параметр IE будет применяться через GPP.

Доступные функциональные клавиши

  • F5 – Включить все настройки на текущей вкладке
  • F6 – Включить выбранный параметр
  • F7 – Отключить выбранный параметр
  • F8 – Отключить все настройки на текущей вкладке

Укажем прокси-сервер (Вкладка Connections ->Lan Settings).  Прокси сервер можно настроить одним из следующих способов:

  • Automatically detect settings (автоматическое определение настроек с помощью файла wpad.dat)
  • Use automatic configuration script (скрипт автоконфигурации — proxy.pac)
  • Proxy Server (прямое указание адреса прокси сервера в политики – самый простой способ, его и будем использовать)

Ставим галку Use a proxy server for your LAN, а в полях Address и Port соответственно указываем ip/FQDN имя прокси-сервера и порт подключения.

Internet Explorer 10 - настройка прокси-сервера через GPO

Включив опцию Bypass Proxy Server for Local Addresses можно запретить приложениям (в том числе браузеру) использовать прокси-сервер при доступе к локальным ресурсам (в формате http://intranet). В том случае, если используется адреса вида http://internalwebsite.corp.loc или  http://192.168.20.5, то эти адреса не распознаются системой как локальные. Эти адреса и адреса других ресурсов, для доступа к которым не нужно использовать прокси, нажмите кнопку Advanced и в поле Exceptions введите адреса в формате: 10.*;192.168.*;*.loc;*.contoso.com

Bypass Proxy Server for Local Addresses

Совет. Параметры прокси-сервера в Google Chrome можно задать централизованно через GPO с помощью специальных административных шаблонов. Для Mozilla Firefox можно использовать такое решение.

После сохранения политики XML файл с заданными настройками браузера можно посмотреть в каталоге политики на контроллере домене

\\DC1\SYSVOL\winitpro.ru\Policies\(PolicyGuiID)\ User\Preferences\InternetSettings\InternetSettings.xml

InternetSettings.xml файл с настройками IE в групповых политиках

Осталось назначить политику IE на контейнер с пользователями и обновить политики на них. После применения на компьютерах пользователей должны использоваться новые настройки IE. Чтобы запретить пользователям изменять настройки прокси-сервера, воспользуйтесь этой статьей.

Кроме того, настроить параметры IE можно и через реестр, политиками GPP. К примеру, чтобы включить прокси нужно настроить следующие атрибуты реестра в ветке:  HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Internet Settings

  • «ProxyEnable»=00000001
  • «ProxyServer»=»192.168.0.33:3128»
  • «ProxyOverride»=»https://*.contoso.com;192.168.*;<local>»

В том случае, если для управления политиками IE вы используете Windows 2008 R2 / Windows 7, то новые политики Internet Settings для IE 10+ в них отображаться не будут. Чтобы исправить проблему, нужно установить на компьютере последнюю версию RSAT, либо последнюю версию административных шаблонов для IE (Administrative Templates for Internet Explorer).

Итак, поведем итоги: параметры браузера IE, начиная с версии 10, теперь не задаются через раздел групповых политик Internet Explorer Maintenance. Вместо него нужно использовать настройки Internet Settings с новым интерфейсом в предпочтениях групповых политик. Т.к. поддержка всех старых версий IE младше 11 окончена, вам не придется создавать отдельные настройки GPP для каждой более старой версии IE.


Предыдущая статья Следующая статья


Комментариев: 32 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)