UncleFather » 23 сен 2013 14:10, Пн
Проблема:
Необходимо настраивать параметры Internet Explorer 11 в OS MS Windows 8 с контроллера домена на MS Windows 2003 R2 Server Rus.
Пояснения:
Согласно статье «Замена компонента «Настройка Internet Explorer» на сайте Microsoft:
В Windows 8 с Internet Explorer 10 мы отказались от IEM в пользу более надежного инструмента "Предпочтения групповой политики". Администраторы также могут использовать пакет администрирования Internet Explorer (IEAK), чтобы настраивать конкретные параметры. В следующей таблице перечислены параметры, доступные в компоненте "Настройка Internet Explorer" (IEM), и способы управления этими параметрами в компонентах "Предпочтения групповой политики" или IEAK.
Хорошо обрисована данная проблема в статье, однако в применении к серверу Windows 2008 R2.
AFAIK, это верно для IE10 под любой ОС (Windows 7,8), главное в этой фразе то, что при использовании IE10 вы можете забыть о IEM Печальная рожица. Как же теперь управлять IE? MS говорит, что у нас теперь два пути: использовать IEAK или использовать GPP. Что нам предлагает IEAK? Создать предварительно настроенный пакет msi, содержащий сам IE10 + наши предустановки для IE10, либо только предустановки. Потом можно назначить эти пакеты для установки средствами групповых политик, например. Но это значит, что изменения в настройки IE на клиентских машинах я могу вносить только во время Logon’а/Startup’а, что мне не подходит, ибо хотелось бы, чтобы некоторые настройки применялись (возвращались к заданным мной значениям) во время фонового обновления групповых политик или форсировано по соответствующей команде. Значит, остается еще вариант с GPP, но тут мы наталкиваемся на новое препятствие: после установки IE в редакторе групповой политики удаляется узел IEM, однако GPP для IE10 почему-то не появляется, что на мой взгляд нелогично. Может быть можно использовать настройки GPP “Internet Explorer 8” для управления IE10? Судя по тому, что пишет MS, это невозможно:
Наличие зависимостей
Элементы предпочтения Internet Explorer 8 могут использоваться для управления параметрами браузера только в Internet Explorer 8. Для управлениями параметрами браузера более ранних версий Internet Explorer используйте элементы предпочтения для Internet Explorer 7 или Internet Explorer 5 и 6.
На всякий случай проверил: в штатном режиме – нельзя (не работает). Так, что дальше? Можно, конечно, попробовать рулить при помощи административных шаблонов и/или внесения изменений в реестр, но это не очень удобно (вернее совсем не удобно, на мой взгляд). Можно использовать Windows 8 для редактирования политики (в этой версии ОС присутствует возможность создания GPP для IE10 (но у меня нет ни одной машины с windows . Что же делать? Оказывается, можно, немного допилив напильником, заставить применяться GPP Internet Explorer 8 и для более поздних версий IE. И так, находим на контроллере домена в папочке с политикой, в которой мы настраивали GPP Internet Explorer 8, файлик InternetSettings.xml, открываем его в редакторе (например, в блокноте) и заменяем в нем параметр max=9.0.0.0 на max=11.0.0.0, разрешая тем самым применять настройки GPP для версий IE вплоть до 11. Проверяем – работает!
Надо, конечно, понимать, что
а) способ нештатный
б) настройки GPP для IE8 в лучшем случае являются лишь подмножеством настроек для IE10,
в) а в худшем случае какие-либо параметры могут вообще не являться подмножеством настроек IE10
Все? Не совсем. К сожалению, GPP (по крайней мере та, что мне доступна: GPP для IE8) не является полноценной заменой для IEM (например, в ней невозможно задать список сайтов, наполняющих ту или иную зону безопасности). Существуют ли другие способы для формирования этих списков средствами групповых политик? Да, есть несколько вариантов, например:
логон скрипты
административные шаблоны (“Site to Zone Assignment List”/”Список назначениний зоны для веб-сайтов”)
Внесение изменений в реестр при помощи групповых политик
Логон скрипты отметаем сразу, по той же причине, что и IEAK. Из оставшихся двух вариантов стоило бы предпочесть административные шаблоны, но, к сожалению, после применения политики, настроенной при помощи вышеназванного административного шаблона, пользователь теряет возможность вносить изменения в перечень узлов зон безопасности, а мне нужно оставить пользователям такую возможность. Посему остается вариант с внесением изменений в реестр при помощи групповых политик.
Административный шаблон “Site to Zone Assignment List” используется для внесения изменений в одну из следующую ветку реестра:
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap (для конфигурации компьютера)
HKCU\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey (для конфигурации пользователя)
Решение:
-
Скачиваем и устанавливаем на контроллер домена Клиентские расширения предпочтений групповых политик для ОС Windows Server 2003 (KB943729) (Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729))
-
Несмотря на установленное исправление, управлять новыми политиками с контроллера домена с OS MS Windows 2003 R2 Server не получится. Это возможно только с ОС Windows Server поздних версий, либо с компьютеров под управлением ОС не ниже Windows Vista (Клиентские расширения предпочтений групповых политик применяются к серверу 2003 и XP, но в редакторе групповых политик server 2003 и XP они не отображаются). Поэтому, на компьютер, с которого предполагаем управлять политиками скачиваем и устанавливаем, в зависимости от версии операционной системы:
После установки пакета RSAT, который содержит большинство необходимых администратору утилит и оснасток, они будут доступны в панели управления (Programs & Features – Windows Features).
- 01.gif (26.01 КБ) 299520 просмотров
Различные функции пакета RSAT можно активировать с помощью утилиты командной строки (CLI), которая называется DISM (Deployment Image Servicing and Management), ее использование полностью аналогично процедуре включения/выключения функций и ролей в Windows Server 2008 R2 Server Core.
DISM позволяет перечислить, установить, удалить, настроить или обновить функции и пакеты в образе системы Windows. Список доступных команд зависит от того, в каком режиме работы находится система: offline или online.
Чтобы получить список всех доступных функций, набираем в командной строке:
Чтобы активировать ту или иную функцию, пользуемся командой:
Код: Выделить всё
dism /Online /Enable-Feature /FeatureName:<FeatureName>
-
При необходимости, настраиваем RSAT и начинаем управлять предпочтениями групповых политик с той рабочей станции, куда установили пакет удаленного администрирования.
Дополнение: Для удаления пакета Средства удаленного администрирования сервера для Windows (RSAT) нужно сначала отключить включенные компоненты удаленного администрирования, а затем удалить обновление для Microsoft Windows KB958830.
[b][size=150]Проблема:[/size][/b]
Необходимо настраивать параметры Internet Explorer 11 в OS MS Windows 8 с контроллера домена на MS Windows 2003 R2 Server Rus.
[b][size=150]Пояснения:[/size][/b]
Согласно статье [url=http://technet.microsoft.com/ru-ru/library/hh846772.aspx]«Замена компонента «Настройка Internet Explorer»[/url] на сайте Microsoft:
[quote]В Windows 8 с Internet Explorer 10 мы отказались от IEM в пользу более надежного инструмента "Предпочтения групповой политики". Администраторы также могут использовать пакет администрирования Internet Explorer (IEAK), чтобы настраивать конкретные параметры. В следующей таблице перечислены параметры, доступные в компоненте "Настройка Internet Explorer" (IEM), и способы управления этими параметрами в компонентах "Предпочтения групповой политики" или IEAK.[/quote]
Хорошо обрисована данная проблема в [url=http://shserg.ru/posts/manage_ie10_by_group_policy_in_windows_72008r2/]статье[/url], однако в применении к серверу Windows 2008 R2. [spoiler title=Цитирую:][quote]AFAIK, это верно для IE10 под любой ОС (Windows 7,8), главное в этой фразе то, что при использовании IE10 вы можете забыть о IEM Печальная рожица. Как же теперь управлять IE? MS говорит, что у нас теперь два пути: использовать IEAK или использовать GPP. Что нам предлагает IEAK? Создать предварительно настроенный пакет msi, содержащий сам IE10 + наши предустановки для IE10, либо только предустановки. Потом можно назначить эти пакеты для установки средствами групповых политик, например. Но это значит, что изменения в настройки IE на клиентских машинах я могу вносить только во время Logon’а/Startup’а, что мне не подходит, ибо хотелось бы, чтобы некоторые настройки применялись (возвращались к заданным мной значениям) во время фонового обновления групповых политик или форсировано по соответствующей команде. Значит, остается еще вариант с GPP, но тут мы наталкиваемся на новое препятствие: после установки IE в редакторе групповой политики удаляется узел IEM, однако GPP для IE10 почему-то не появляется, что на мой взгляд нелогично. Может быть можно использовать настройки GPP “Internet Explorer 8” для управления IE10? Судя по тому, что пишет MS, это невозможно:
Наличие зависимостей
Элементы предпочтения Internet Explorer 8 могут использоваться для управления параметрами браузера только в Internet Explorer 8. Для управлениями параметрами браузера более ранних версий Internet Explorer используйте элементы предпочтения для Internet Explorer 7 или Internet Explorer 5 и 6.
На всякий случай проверил: в штатном режиме – нельзя (не работает). Так, что дальше? Можно, конечно, попробовать рулить при помощи административных шаблонов и/или внесения изменений в реестр, но это не очень удобно (вернее совсем не удобно, на мой взгляд). Можно использовать Windows 8 для редактирования политики (в этой версии ОС присутствует возможность создания GPP для IE10 (но у меня нет ни одной машины с windows 8). Что же делать? Оказывается, можно, немного допилив напильником, заставить применяться GPP Internet Explorer 8 и для более поздних версий IE. И так, находим на контроллере домена в папочке с политикой, в которой мы настраивали GPP Internet Explorer 8, файлик InternetSettings.xml, открываем его в редакторе (например, в блокноте) и заменяем в нем параметр max=9.0.0.0 на max=11.0.0.0, разрешая тем самым применять настройки GPP для версий IE вплоть до 11. Проверяем – работает!
Надо, конечно, понимать, что
а) способ нештатный
б) настройки GPP для IE8 в лучшем случае являются лишь подмножеством настроек для IE10,
в) а в худшем случае какие-либо параметры могут вообще не являться подмножеством настроек IE10
Все? Не совсем. К сожалению, GPP (по крайней мере та, что мне доступна: GPP для IE8) не является полноценной заменой для IEM (например, в ней невозможно задать список сайтов, наполняющих ту или иную зону безопасности). Существуют ли другие способы для формирования этих списков средствами групповых политик? Да, есть несколько вариантов, например:
логон скрипты
административные шаблоны (“Site to Zone Assignment List”/”Список назначениний зоны для веб-сайтов”)
Внесение изменений в реестр при помощи групповых политик
Логон скрипты отметаем сразу, по той же причине, что и IEAK. Из оставшихся двух вариантов стоило бы предпочесть административные шаблоны, но, к сожалению, после применения политики, настроенной при помощи вышеназванного административного шаблона, пользователь теряет возможность вносить изменения в перечень узлов зон безопасности, а мне нужно оставить пользователям такую возможность. Посему остается вариант с внесением изменений в реестр при помощи групповых политик.
Административный шаблон “Site to Zone Assignment List” используется для внесения изменений в одну из следующую ветку реестра:
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap (для конфигурации компьютера)
HKCU\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey (для конфигурации пользователя)[/quote][/spoiler]
[b][size=150]Решение:[/size][/b]
[list=1] [*] Скачиваем и устанавливаем на контроллер домена [url=http://www.microsoft.com/ru-ru/download/details.aspx?id=6955]Клиентские расширения предпочтений групповых политик для ОС Windows Server 2003 (KB943729)[/url] ([url=http://www.microsoft.com/en-us/download/details.aspx?id=6955]Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729)[/url])
[*] Несмотря на установленное исправление, управлять новыми политиками с контроллера домена с OS MS Windows 2003 R2 Server не получится. Это возможно только с ОС Windows Server поздних версий, либо с компьютеров под управлением ОС не ниже Windows Vista (Клиентские расширения предпочтений групповых политик применяются к серверу 2003 и XP, но в редакторе групповых политик server 2003 и XP они не отображаются). Поэтому, на компьютер, с которого предполагаем управлять политиками скачиваем и устанавливаем, в зависимости от версии операционной системы:
[list][*] [url=http://www.microsoft.com/ru-ru/download/details.aspx?id=7887]Средства удаленного администрирования сервера для Windows 7 32-bit и 64-bit, с пакетом обновления 1 (SP1)[/url] ([url=http://www.microsoft.com/en-us/download/details.aspx?id=7887]Remote Server Administration Tools for Windows 7 with Service Pack 1 (SP1)[/url])
[*] [url=http://www.microsoft.com/ru-ru/download/details.aspx?id=28972]Средства удаленного администрирования сервера для Windows 8 32-bit и 64-bit[/url] ([url=http://www.microsoft.com/en-us/download/details.aspx?id=28972]Remote Server Administration Tools for Windows 8[/url])[/list]
После установки пакета RSAT, который содержит большинство необходимых администратору утилит и оснасток, они будут доступны в панели управления (Programs & Features – Windows Features).
[attachment=0]01.gif[/attachment]
Различные функции пакета RSAT можно активировать с помощью утилиты командной строки (CLI), которая называется DISM (Deployment Image Servicing and Management), ее использование полностью аналогично [url=http://winitpro.ru/index.php/2010/09/06/upravlenie-rolyami-v-windows-server-2008-server-core/]процедуре включения/выключения функций и ролей в Windows Server 2008 R2 Server Core[/url].
DISM позволяет перечислить, установить, удалить, настроить или обновить функции и пакеты в образе системы Windows. Список доступных команд зависит от того, в каком режиме работы находится система: offline или online.
Чтобы получить список всех доступных функций, набираем в командной строке:
[code]dism /Online /Get-Features[/code]
Чтобы активировать ту или иную функцию, пользуемся командой:
[code]dism /Online /Enable-Feature /FeatureName:<FeatureName>[/code]
[*] При необходимости, [url=http://winitpro.ru/index.php/2010/12/06/ustanovka-rsat-v-windows-7/]настраиваем[/url] RSAT и начинаем управлять предпочтениями групповых политик с той рабочей станции, куда установили пакет удаленного администрирования.[/list]
[b][size=120]Дополнение:[/size][/b] Для удаления пакета Средства удаленного администрирования сервера для Windows (RSAT) нужно сначала отключить включенные компоненты удаленного администрирования, а затем удалить обновление для Microsoft Windows KB958830.