Управління IE10 за допомогою групових політик в середовищі Windows 7/2008 / R2

Не так давно Microsoft зробила доступною версію Internet Explorer 10 для windows 7. Начитавшись різних хвалебних статей про його швидкості, я вирішив подивитися на це своїми очима і для початку встановив його собі на робоче місце. Потренувавшись на кішках, прийшов до висновку, що суб'єктивно він дійсно працює швидше, ніж IE9 і вже тим більше IE8, і зібрався вже було приступити до розгортання його на всіх комп'ютерах підприємства, як раптово виявив, що на IE10 чомусь не діють мої старі групові політики і, більш того, в редакторі групових політик на моєму комп'ютері зник вузол "Налаштування Internet Explorer" / "Internet Explorer Maintenance" (IEM).

Звернувся до технетам, де вдалося виявити наступне :

У Windows 8 з Internet Explorer 10 ми відмовилися від IEM на користь більш надійного інструменту "Уподобання групової політики". Адміністратори також можуть використовувати пакет адміністрування Internet Explorer (IEAK), щоб налаштовувати конкретні параметри. У цій таблиці наведено параметри, доступні в компоненті "Налаштування Internet Explorer" (IEM), і способи управління цими параметрами в компонентах "Уподобання групової політики" або IEAK.

AFAIK, це вірно для IE10 під будь-який ОС (Windows 7,8), головне в цій фразі те, що при використанні IE10 ви можете забути про IEM . Як же тепер управляти IE? MS каже, що у нас тепер два шляхи: використовувати IEAK або використовувати GPP. Що нам пропонує IEAK? Створити попередньо налаштований пакет msi, що містить сам IE10 + наші предустановки для IE10, або тільки налаштування. Потім можна призначити ці пакети для установки засобами групових політик, наприклад. Але це означає, що зміни в налаштування IE на клієнтських машинах я можу вносити тільки під час Logon'а / Startup'а, що мені не підходить, бо хотілося б, щоб деякі настройки застосовувалися (поверталися до заданих мною значенням) під час фонового поновлення групових політик або форсовано за відповідною командою. Значить, залишається ще варіант з GPP, але тут ми натрапляємо на нову перешкоду: після установки IE в редакторі групової політики видаляється вузол IEM, однак GPP для IE10 чомусь не з'являється, що на мій погляд нелогічно. Може бути можна використовувати налаштування GPP "Internet Explorer 8" для управління IE10? Судячи з того, що пише MS , це неможливо:

наявність залежностей
Елементи переваги Internet Explorer 8 можуть використовуватися для управління параметрами браузера тільки в Internet Explorer 8. Для управліннями параметрами браузера більш ранніх версій Internet Explorer використовуйте елементи переваги для Internet Explorer 7 або Internet Explorer 5 і 6.

Про всяк випадок перевірив: в штатному режимі - не можна (не працює). Так, що далі? Можна, звичайно, спробувати управляти за допомогою адміністративних шаблонів і / або внесення змін до реєстру, але це не дуже зручно (вірніше зовсім не зручно, на мій погляд). Можна використовувати Windows 8 для редагування політики (в цій версії ОС присутня можливість створення GPP для IE10 (але у мене немає жодної машини з windows 8). Що ж робити? Виявляється, можна, трохи допив напилком, змусити застосовуватися GPP Internet Explorer 8 і для більш пізніх версій IE . І так, знаходимо на контролері домену в таткові з політикою, в якій ми налаштовували GPP Internet Explorer 8, файлик InternetSettings.xml, відкриваємо його в редакторі (наприклад, в блокноті) і замінюємо в ньому параметр max = 9.0.0.0 на max = 11.0 .0.0, дозволяючи тим самим застосовувати настройки GPP для версій IE аж до 11. Перевіряємо - працює!

Треба, звичайно, розуміти, що
а) спосіб нештатний
б) настройки GPP для IE8 в кращому випадку є лише підмножиною налаштувань для IE10,
в) а в гіршому випадку будь-які параметри можуть взагалі не бути підмножиною налаштувань IE10

Усе? Не зовсім. На жаль, GPP (принаймні та, що мені доступна: GPP для IE8) не є повноцінною заміною для IEM (наприклад, в ній неможливо задати список сайтів, які наповнюють ту чи іншу зону безпеки). Чи існують інші способи для формування цих списків засобами групових політик? Так, є кілька варіантів , Наприклад:

Логон скрипти відмітаємо відразу, з тієї ж причини, що і IEAK. З решти двох варіантів варто було б віддати перевагу адміністративні шаблони, але, на жаль, після застосування політики, налаштованої за допомогою вищезгаданого адміністративного шаблону, користувач втрачає можливість вносити зміни в перелік вузлів зон безпеки, а мені потрібно залишити користувачам таку можливість. Тому залишається варіант з внесенням змін до реєстру за допомогою групових політик.

Адміністративний шаблон "Site to Zone Assignment List" використовується для внесення змін в одну з наступну гілку реєстру:

• HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ZoneMap (для конфігурації комп'ютера)
• HKCU \ SOFTWARE \ Policies \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ZoneMapKey (для конфігурації користувача)

Ми ж будемо вносити зміни в наступні гілки реєстру: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ZoneMap \ Domains (тут зберігається перелік доменних імен, які приписані до тій чи іншій зоні безпеки IE)

На наведеному вище скріншоті видно кілька доменних імен (або імен хостів), які на моєму комп'ютері внесені в список тієї чи іншої зони безпеки. Так сайт * .kontur-extern.ru відноситься до другої зони безпеки. Всього таких зон - чотири: 1 - Intranet / Місцева интрасеть, 2 - Trusted Sites / Надійні сайти, 3 - Internet / Інтернет, 4 - Restricted Sites / Небезпечні сайти.

Якщо ми використовуємо не тільки імена доменів / хостів, а й діапазони IP-адрес, то нам також доведеться вносити аналогічні зміни в наступну гілку реєстру: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ZoneMap \ Ranges ..

Для того, щоб не займатися рясним і одноманітним копіпастом розділів реєстру в редакторі політик, можна скористатися "Майстром реєстру", доступному в розділі "Ресстр" GPP, завдяки якому ми можемо, взявши за зразок потрібні нам розділи реєстру, перенести їх вміст в політику за один раз.

Ну і нарешті, тому що IE10 буде встановлюватися поетапно було б непогано прикрутити фільтр до створеної політиці так, щоб вона застосовувалася лише до користувачів, на комп'ютері яких встановлено IE10 (до інших комп'ютерів з IE більш ранніх версій буде застосовуватися стара політика на основі IEM). Для цього я використовував наступний WMI-фільтр: SELECT HotFixID FROM Win32_QuickFixEngineering WHERE HotFixID = "KB2718695"

Ось тепер все, сподіваюся нічого не забув.

Upd [2013/04/03] Так, щось я не зметикував, що можна обійтися без WMI-фільтра, а замість цього підправити в InternetSettings.xml не тільки параметр max =, а й min =.

Upd [2013/08/05] Якщо комусь буде потрібно поширювати на комп'ютери користувачів вміст папок "Вибране" (така можливість так само була в IEM), то тепер це можна зробити за допомогою GPP, см. Картинку: