Керуємо Internet Explorer за допомогою групової політики, Windows IT Pro

Існує не менше трьох незалежних і іноді конфліктуючих методів налаштування IE з використанням групової політики, тому було б очевидною помилкою стверджувати, що застосовувати цю технологію просто. Але враховуючи, як важливо захистити IE у багатьох компаніях, необхідно прийняти виклик та постаратися знайти оптимальне рішення задачі. У цій статті зібрані поради та оптимальні методи навігації по лабіринту управління IE за допомогою групової політики

Повинен зізнатися, що, приступаючи до цієї статті, я відчув спокусу написати: "Якщо ви хочете керувати конфігурацією браузера з групової політики, переходьте на Firefox". Як може переконаний прихильник групової політики, такий як я, зробити таку заяву? Очевидно, що налаштування Internet Explorer (IE) за допомогою групової політики завжди відрізнялося зайвою складністю. .

Вибираємо зброю

Як зазначалося, існує три основних методи управління конфігурацією IE через групову політику.

  • Параметри адміністративних шаблонів у розділі Computer Configuration (або User Configuration)\Administrative Templates\Windows Components\Internet Explorer. Ці параметри є типовими блокуваннями, що задаються через адміністративні шаблони. Призначені в такий спосіб параметри IE неможливо змінити користувачем.
  • User Configuration\Windows Settings\Internet Explorer Maintenance. Це початковий механізм для налаштування IE через групову політику. У ранніх версіях механізму було багато помилок, а поведінка під час налаштування була непередбачуваною. Версія Windows 7 відрізняється більшою надійністю.
  • User Configuration\Preferences\Control Panel Settings\Internet Settings. Метод налаштування IE наНа основі переваг групової політики ліквідує прогалину двох попередніх методів, але не поширюється на деякі важливі галузі.

Тому в більшості випадків вирішити задачу з використанням лише одного методу не вдається. Як правило, доводиться використовувати два, а іноді й усі три методи, щоб повністю керувати поведінкою IE на настільних комп'ютерах та серверах. У статті будуть розглянуті можливості кожного методу та деякі особливості, про які потрібно пам'ятати у тому чи іншому випадку. Крім того, іноді знайомі мені фахівці застосовували інші прийоми в обхід трьох методів. Наприклад, мені доводилося бачити, як просто складаючи сценарії для реєстру, вдавалося змінити базові значення параметрів IE (наприклад, налаштування проксі), не покладаючись на ненадійну політику налаштувань IE

Політика адміністративних шаблонів

Параметри адміністративних шаблонів для IE доступні у розділах Computer Configuration та User Configuration об'єкта групової політики (GPO). Тому можна налаштувати їх для застосування до всіх користувачів цієї групи комп'ютерів (Computer Configuration) або до особливого кола цільових користувачів (User Configuration). Призначаючи політики окремим комп'ютерам та окремим користувачам, уникайте конфліктів для конкретного користувача, зареєстрованого на певному комп'ютері. У разі конфлікту зазвичай переважають налаштування окремого комп'ютера, але так відбувається не завжди, тому якщо конфлікт неминучий, обов'язково перевірте поведінку. Я зазвичай визначаю лише параметри адміністративних шаблонів для окремих користувачів, особливо якщо передбачається одночасно використовувати дві інші області політики. Ці дві політики впливають лише на окремих користувачів, і в результаті вдається акуратнішеспрямовувати політики для IE.

При переході до нової версії IE на комп'ютері, що оновлюється, зазвичай встановлюється новий файл шаблону ADM або ADMX. Впевнений, що наступна версія IE 9 нічим не відрізнятиметься щодо цього. Якщо інсталяція виконується на Windows XP або Windows Server 2003, оновлений файл з усіма необхідними налаштуваннями та ім'ям inetres.adm зберігається в папці C:\Windows\inf на комп'ютері, для якого виконується оновлення IE. Вручну скопіюйте файл inetres.adm у доменний об'єкт GPO, якщо потрібно запустити нові параметри. Відомо, що Windows Vista, Windows 7, Windows Server 2008 і Server 2008 R2 використовується новий формат файлу шаблону ADMX. Тому при інсталяції нової версії IE оновлений файл inetres.admx зберігається в папці C:\Windows\policydefinitions на оновленому комп'ютері Windows. Якщо в домені Active Directory (AD) розміщено центральне сховище ADMX Central Store, необхідно вручну скопіювати файл inetres.adm, перезаписавши існуючу версію файлу.

Переваги адміністративних шаблонів. Налаштування адміністративних шаблонів IE, як і інших адміністративних шаблонів, призначені в першу чергу для того, щоб примусово встановити поведінку користувачів IE. Як правило, користувачі не можуть перевизначити налаштування, зроблені через адміністративні шаблони IE (прапорець затінений або відсутня відповідна вкладка). Наприклад, можна приховати вкладку Security у діалоговому вікні властивостей браузера даної області політик, і користувач взагалі не побачить цих параметрів. Усі настройки, за допомогою яких можна вимкнути функції налаштування IE, зазвичай знаходяться в цій галузі політики (екран 1).

explorer
Екран 1. Вимкнення функцій IE через політикиадміністративних шаблонів

Як правило, найкраще використовувати адміністративні шаблони для налаштування певного параметра та видалення цього параметра з меню, щоб позбавити користувача доступу до нього. У таблиці 1 наведено список типових завдань, які можна виконати в цій галузі політики, та вказано, як отримати доступ до цих параметрів.

Таблиця 1. Типові завдання адміністративних шаблонів
допомогою

Недоліки адміністративних шаблонів. Найбільший недолік адміністративних шаблонів IE полягає у неможливості їх використання для налаштування багатьох аспектів поведінки IE. Серед елементів, які не можна налаштувати, — домашня сторінка та діалогове вікно властивостей браузера (в меню Tools). Крім того, від адміністративних шаблонів IE мало користі, якщо потрібно налаштувати параметр, надавши користувачеві можливість змінити його, оскільки задані за їх допомогою значення не можуть бути переглянуті користувачами.

Політики налаштування IE

керуємо
Екран 2. Імпорт параметрів безпеки IE політики налаштування IE

Дуже важливо освоїти цей на перший погляд простий інтерфейс. Якщо потрібно імпортувати настройки в політику, всі без винятку поточні параметри безпеки браузера з комп'ютера, на якому виконується редагування GPO, імпортуються в інструмент IE Maintenance. Якщо перейти до іншого комп'ютера з іншою версією Windows, ці параметри IE будуть імпортовані до політики. Якщо на другому комп'ютері інстальовано іншу версію IE, можна побачити інші параметри. Це може призвести до багатьох непередбачених наслідків. Тому настійно рекомендується завжди створювати та редагуватиполітику налаштування IE на тому ж комп'ютері або принаймні в тій же версії Windows та IE. У більшості випадків параметри з нових версій Windows (наприклад, Windows 7 та IE 8) сумісні зверху вниз (тобто зона надійних сайтів, призначена з політики налаштування IE у Windows 7 та IE 8, діятиме на комп'ютері з XP SP3 та IE 7) але завжди корисно протестувати будь-які параметри.

У таблиці 2 наведено області, для управління якими зазвичай застосовуються політики налаштування IE.

Таблиця 2. Типові завдання налаштування IE
керуємо

Недоліки політик налаштування IE. Вже зазначалося, що політики налаштування IE - невдалий вибір для багатьох конфігурацій IE, оскільки налаштування будуть застосовуватися безумовно, тільки якщо відключити відповідні елементи інтерфейсу користувача з застосуванням адміністративних шаблонів. Якщо частину параметрів IE потрібно встановити з політик налаштування IE (наприклад, конфіденційність), пам'ятайте, що поведінка цієї політики не завжди надійна. Якщо з'ясовується, що користувачі не отримують необхідних налаштувань, спробуйте виконати команду Gpupdate/force на робочій станції клієнта кожного користувача, що зіткнувся з проблемами. Таким чином іноді вдається досягти від політики налаштування IE бажаного результату. Крім того, політики налаштування IE автоматично ведуть журнал діагностики у файлі brndlog.txt у %userprofile\Appdata\local\Microsoft\Internet Explorer (Windows 7) або %userprofile%\application data\Microsoft\Internet Explorer (в XP), як показано на екрані 3.

допомогою
Екран 3. Перегляд журналу політики налаштування IE у файлі brndlog.txt

Параметри оглядача у перевагах групової політики

Уподобання групової політики — порівняно новий компонент групової політики, що з'явився у версії Server 2008. Щоб задіяти цей компонент, необов'язково мати Server 2008: будь-який клієнт з операційною системою XP або нова може обробляти переваги групової політики з використанням розширень Group Policy Preferences Client Side Extensions. Однак необхідний принаймні один комп'ютер Server 2008, Server 2008 R2, Windows 7 або Vista, щоб керувати перевагами групової політики. Комп'ютери XP або Windows Server 2003 цього не годяться. У новітній реалізації переваг групової політики у складі Windows 7 і Server 2008 R2 забезпечується налаштування IE 5, IE 6, IE 7 і IE 8. Вважаю, що випускаючи IE 9, компанія Microsoft оновить переваги групової політики для сумісності і з цією версією (хоча споживачам, можливо, доведеться дочекатися випуску нової версії операційної системи).

Таблиця 3. Типові завдання. Параметри оглядача у перевагах групової політики
допомогою

Недоліки параметрів браузера у перевагах групової політики. Подібно до політиків налаштування IE, параметри браузера у перевагах групової політики задають, але не застосовують налаштування IE примусово. Як і раніше, необхідно задіяти адміністративні шаблони для блокування областей інтерфейсу користувача, налаштованих через переваги групової політики. Крім того, відзначаються прикрі неузгодженості між налаштуваннями, що підтримуються. Наприклад, на вкладці Security можна вказати рівні зон (високий, помірно високий), але не можна задати розподіл сайтів по зонах на цій же сторінці - з незрозумілої причини вони недоступні (затінені). Те ж саме стосуєтьсявкладці Privacy, де можна налаштувати спливаючі вікна: дозволено налаштування для керування списками, але не для обробки cookie. Можна лише припустити, що такий підхід обраний, щоб не ускладнювати і без того заплутане налаштування IE у двох інших областях.

Приборкання IE

Картина політик для налаштування IE не зрозуміла. Наприклад, Microsoft, на жаль, не використовує переваги групової політики як платформу, щоб забезпечити доступ до всіх параметрів налаштування IE та прояснити їхню реалізацію. Тому необхідно обережно комбінувати три різні галузі політики. Якщо можливості цих трьох областей не задовольняють вимогам, можна застосувати для налаштування IE сценарії для реєстру або пакет IE Administration Kit (IEAK).

Поділіться матеріалом з колегами та друзями