Налаштування Internet Explorer 11 з допомогою GPO в домені

Спочатку для централізованої настройки параметрів Internet Explorer (найчастіше настроюються параметри проксі-сервера) груповою політикою в доменній середовищі використовувалася політика Internet Explorer Maintenance, яка перебувала в призначеному для користувача розділі GPO: User configuration -> Policies -> Windows Settings -> Internet Explorer Maintenance. Але в Windows Server 2012 / Windows 8 розробники Microsoft вирішили змінити підхід до налаштування параметрів IE за допомогою GPO і повністю прибрали розділ Internet Explorer Maintenance з консолі редактора групових політик.

Звичний розділ групової політики Internet Explorer Maintenance (IEM) також пропадає і в Windows 7 / Windows Server 2008 R2 після установки браузера Internet Explorer 10 або IE 11 (В якому з'явився корисний режим сумісності Enterprise Mode). І якщо навіть на комп'ютер з IE 10/11 продовжує діяти стара політика з IEM, застосовуватися вона не буде.

важливо. З січня 2016 року Microsoft припинила підтримку всіх старих версій Internet Explorer (IE 6, 7, 8, 9, 10) з міркувань безпеки. Для старих версій перестали випускати оновлення і латочки. Це означає, що на даний момент підтримується тільки IE 11, і старі версії IE в будь-якому випадку потрібно оновлювати до версії 11.

Спроби відшукати нове місце розташування розділу з налаштуваннями IE в редакторі GPO на Windows Server 2012 R2 за допомогою пошуку по GPO нічого не дають. Яким же чином інженери Microsoft припускають надалі налаштовувати параметри браузера (в т.ч. проксі сервера) для Internet Explorer? Як виявилося, тепер це можливо зробити через переваги групових політик GPP (Group Policy Preferences) або ж спеціальне розширення Internet Explorer Administration Kit 11 (IEAK 11).

Порада. Уподобання групових політик з'явилися в Windows Server 2008. Для роботи в XP і Windows Server 2003 потрібно установка спеціального розширення - Group Policy Preferences Client Side Extensions.

Відкрийте консоль редактора GPO (Group Policy Management Console - GPMC.msc) і перейдіть в розділ User Configuration -> Preferences -> Control Panel Settings -> Internet Settings. У контекстному меню виберіть пункт New -> і вкажіть версію IE, для якої потрібно задати налаштування.

Доступні настройки для наступних версій IE:

  • Internet Explorer 5 і 6
  • Internet Explorer 7
  • Internet Explorer 8 і 9
  • Internet Explorer 10

Порада. Незважаючи на те, що окремої настройки для Internet Explorer 11 немає, політика Internet Explorer 10 повинна діяти на всі версії IE> = 10 (в файлі політики InternetSettings.xml можна побачити, що опція дійсна для всіх версії IE, починаючи c 10.0.0.0 і закінчуючи 99.0.0.0).

Створимо політику для IE 10 (і вище).
Як ви бачите, процес налаштування параметрів IE став більш зручним. Параметри IE в перевагах групової політики відтворюють вкладки налаштувань для кожної сумісної версії IE.

Зазначимо домашню сторінку (Вкладка General, поле Home page).

важливо. Чи не досить просто зберегти внесені зміни в редакторі політики. Зверніть увагу на червоні і зелені підкреслення у параметрів, що настроюються IE. Червоне підкреслення говорить про те,, що ця установка не буде застосовуватися. Щоб застосувати конкретну настройку, натисніть F5. Зелене підкреслення у параметра означає, що цей параметр IE буде застосовуватися через GPP.

Доступні функціональні клавіші

  • F5 - Включити всі налаштування на поточній вкладці
  • F6 - Включити обраний параметр
  • F7 - Відключити обраний параметр
  • F8 - Вимкнути всі налаштування на поточній вкладці

Зазначимо проксі-сервер (Вкладка Connections ->Lan Settings). Проксі сервер можна налаштувати один із таких способів:

  • Automatically detect settings (автоматичне визначення налаштувань за допомогою файлу wpad.dat)
  • Use automatic configuration script (скрипт автоконфігурації - proxy.pac)
  • Proxy Server (пряма вказівка ​​адреси проксі сервера в політики - найпростіший спосіб, його і будемо використовувати)

ставимо галку Use a proxy server for your LAN, а в полях Address і Port відповідно вказуємо ip / FQDN ім'я проксі-сервера і порт підключення.

включивши опцію Bypass Proxy Server for Local Addresses можна заборонити програмам (в тому числі браузеру) використовувати проксі-сервер при доступі до локальних ресурсів (у форматі http: // intranet). У тому випадку, якщо використовується адреси виду або http://192.168.20.5, то ці адреси не розпізнаються системою як локальні. Ці адреси і адреси інших ресурсів, для доступу до яких не потрібно використовувати проксі, натисніть кнопку Advanced і в поле Exceptions введіть адреси в форматі: 10. *; 192.168. *; *. Loc; *. Contoso.com

Порада. Параметри проксі-сервера в Google Chrome можна задати централізовано через GPO за допомогою спеціальних адміністративних шаблонів. Для Mozilla Firefox можна використовувати таке рішення.

Після збереження політики XML файл із заданими настройками браузера можна подивитися в каталозі політики на контролері домену

\\ DC1 ​​\ SYSVOL \ winitpro.ru \ Policies \ (PolicyGuiID) \ User \ Preferences \ InternetSettings \ InternetSettings.xml

Залишилося призначити політику IE на контейнер з користувачами і оновити політики на них. Після застосування на комп'ютерах користувачів повинні використовуватися нові настройки IE. Щоб заборонити користувачам змінювати налаштування проксі-сервера, скористайтеся цією статтею.

Крім того, налаштувати параметри IE можна і через реєстр, політиками GPP. Наприклад, щоб включити проксі потрібно налаштувати наступні атрибути реєстру в гілці:  HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings

  • «ProxyEnable» = 00000001
  • «ProxyServer» = »192.168.0.33:3128»
  • «ProxyOverride» = »https: //*.contoso.com; 192.168. *;»

У тому випадку, якщо для управління політиками IE ви використовуєте Windows 2008 R2 / Windows 7, то нові політики Internet Settings для IE 10+ в них відображатися не будуть. Щоб виправити проблему, потрібно встановити на комп'ютері останню версію RSAT, або останню версію адміністративних шаблонів для IE (Administrative Templates for Internet Explorer).

Отже, поведемо итоги: параметри браузера IE, починаючи із версії 10, тепер не задаються через розділ групової політики Internet Explorer Maintenance. Замість нього потрібно використовувати налаштування Internet Settings з новим інтерфейсом в перевагах групових політик. Оскільки підтримка всіх старих версій IE молодше 11 закінчена, вам не доведеться створювати окремі настройки GPP для кожного більш старої версії IE.