none
Internet Explorer 11 Group Policy Preferences RRS feed

  • Domanda

  • Salve a tutti. Ho un server Windows 2008 R2 SP1. Avevamo una GPO all'interno della quale inserivamo gli URL di alcuni siti ai quali consentivamo l'accesso ai client Criteri-->Impostazioni di Windows -->Manutenzione di Internet Explorer-->Sicurezza/Aree di sicurezza e classificazione del contenuto-->Area di sicurezza e Privacy--> Intranet Locale--> Siti Inclusi. Abbiamo installato sul server IE11 e queste voci sono sparite. Quindi se avessi necessità di modificare tali impostazioni come dovrei fare?

    Leggendo in rete ho scaricato RSAT per Windows 2008 R2 KB2841134 ed ho provato ad applicare quanto descritto nel seguente link https://www.microsoft.com/en-us/download/details.aspx?id=40905 ma non riesce a sovrascrivere inetres.admx

    C:\Windows\KB2841134>copy *.admx c:\windows\PolicyDefinitions\inetres.admx
    inetres.admx
    Sovrascrivere c:\windows\PolicyDefinitions\inetres.admx? (Sì/No/Tutti): s
    Accesso negato.
            0 file copiati.

    Le mie domande sono:

    Il procedimento è corretto?

    In caso affermativo cosa posso fare per ovviare alla mancata sovrascrittura del modello admx visto che il prompt dei comandi l'ho aperto come Administrator?

    Grazie

    mercoledì 20 gennaio 2016 09:52

Risposte

  • Grazie. Nel frattempo avevo trovato la seguente soluzione. Creare un gile usrlogn1.cmd da inserire nel C:\windows\system32 contenente i seguenti comandi:

    @echo off
    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sitoprova.it" /f
    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\renault.it\www" /f
    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\renault.it\www" /f /v "http" /t REG_DWORD /d 1

    cosa ne pensi?

    Alla fine credo sia la tua stessa soluzione.


    lunedì 25 gennaio 2016 08:33

Tutte le risposte

  • Ciao, hai eseguito quanto di seguito? In particolare "From an elevated command prompt"?

      • From an elevated command prompt, use the following command to update the inetres.admx file:
        • copy /y %WINDIR%\KB2841134\inetres.admx %SYSTEMROOT%\PolicyDefinitions\inetres.admx
      • From an elevated command prompt, use the following command to update the inetres.adml file for the targeted languages:

      • copy /y %WINDIR%\KB2841134\<LanguageCode>\inetres.adml %SYSTEMROOT%\Windows\PolicyDefinitions\<LanguageCode>\inetres.adml

    Saluti
    Nino

    mercoledì 20 gennaio 2016 13:58
    Moderatore
  • Si, ti riporto quanto restituito:

    C:\Users\Administrator>copy /y %WINDIR%\KB2841134\inetres.admx %SYSTEMROOT%\Poli
    cyDefinitions\inetres.admx
    Accesso negato.
            0 file copiati.

    C:\Users\Administrator>copy /y %WINDIR%\KB2841134\it-IT\inetres.adml %SYSTEMROOT
    %\Windows\PolicyDefinitions\it-IT\inetres.adml
    Impossibile trovare il percorso specificato.
            0 file copiati.

    mercoledì 20 gennaio 2016 14:26
  • Di default hai solo le grant in lettura sul file inetres.admx

    Prima di effettuarne la sovrascrittura devi prendere l'ownership del file e successivamente aggiungerti le grant in Full Control.

    mercoledì 20 gennaio 2016 15:54
  • Nel dettaglio:

    1. Individuo il file e ne divento proprietario
    2. " e successivamente aggiungerti le grant in Full Control." questo non mi è chiaro
    mercoledì 20 gennaio 2016 16:02
  • Ha ragione Matteo...

    Proprietà del file > Tab Sicurezza > Avanzate
    Diventi proprietario (di default è TrustedInstaller)
    Assegni al gruppo Administrators "Controllo completo"

    Esegui la copia dei files e successivamente reimposti la sicurezza secondo le impostazioni predefinite.

    Saluti
    Nino

    mercoledì 20 gennaio 2016 16:27
    Moderatore
  • Nel dettaglio:

    1. Individuo il file e ne divento proprietario
    2. " e successivamente aggiungerti le grant in Full Control." questo non mi è chiaro
    Nelle security del file avrai il gruppo Administrators con le permissione in sola lettura. Se fai parte del gruppo Administrators puoi aggiungere le grant in Full Control a questo gruppo. In alternativa puoi aggiungere la tua utenza sempre in Full Control.
    mercoledì 20 gennaio 2016 16:28
  • Si ok nel frattempo ci ero arrivato. Il problema è che inserendo i comandi postati non mi funziona perchè secondo me sono sbagliati. Ho fatto la copia manualmente e ci sono riuscito, ma anche riavviando il server quando vado a selezionare la policy mi restituisce il seguente errore:

    

    Non so se può essere di aiuto, ma clsid deve coincidere con uniqID della policy interessata alla modifica oppure no? Perchè quella della policy che devo modificare è {2C73703E-7B82-45D1-A81F-EB160D338F28}

    mercoledì 20 gennaio 2016 17:12
  • Scusa per il ritardo nella risposta. Ho seguito il link che mi avevi indicato, ma anche modificando il file InternetSettings.xml mi continuava a dare l'errore. Allora essendo virtuale l'ambiente di test, sono tornato indietro con una snapshot ed ho ripetuto il test. Dopo essere diventato proprietario dei rispettivi file inetres.admx e adml, ho dato il Full Control all'utente Administrator, ho lanciato i comandi seguenti con esito positivo

    copy /y %WINDIR%\KB2841134\inetres.admx %SYSTEMROOT%\PolicyDefinitions\inetres.admx

    (Correggendo il comando perchè errato, quello sotto è giusto)

    copy /y %WINDIR%\KB2841134\it-IT\inetres.adml %SYSTEMROOT%\PolicyDefinitions\it-IT\inetres.adml

    Volevo modificare la policy nella sezione Internet Explorer 10, ma non trovando ancora la voce inerente Internet Explorer 10 volevo modificare il file InternetSettings.xml. Ora però il problema è che non trovo neanche la carttella contente il file 

    L'unica differenza che c'è rispetto a prima è che precedentemente avevo fatto anche la prova di mettere un pc a dominio ed installare RSAT sul client Windows 8. Potrebbe essere stato questo che aveva consentito di creare quel file? 

    P.S. per motivi che non sto a spiegare dovrei cercare di evitare di gestire le policy da un client connesso a dominio, ma dovrei gestire il tutto da server. 

    Ti viene in mente qualcosa?

    Grazie

    venerdì 22 gennaio 2016 09:03
  • Per gestire le policy di Internet Explorer 11 devi necessariamente utilizzare la console delle policy da un client windows 8/8.1 o windows 2012/2012R2.
    venerdì 22 gennaio 2016 09:38
  • Innanzitutto grazie per la risposta.

    Quindi riepilogando solo con un pc Windows 8/8.1 connesso a dominio ed avendo installato RSAT posso gestire le policy di IE 11 per tutti gli utenti?


    venerdì 22 gennaio 2016 10:51
  • Innanzitutto grazie per la risposta.

    Quindi riepilogando solo con un pc Windows 8/8.1 connesso a dominio ed avendo installato RSAT posso gestire le policy di IE 11 per tutti gli utenti?


    Esatto.... o con un server in dominio con Windows 2012/2012R2.
    venerdì 22 gennaio 2016 11:13
  • Grazie. Ho installato, e mentre stavo per personalizzare le mie policy ho notato che il pulsante "Siti" dell'area Intranet è in grigetto quinid non funzionante. 

    Suggerimenti?

    venerdì 22 gennaio 2016 14:59
  • La lista dei siti Local Intranet e Trusted puoi configurarli con la seguente policy:

    • User Configuration/Policies/Administrative Templates/Windows Components/Internet Explorer/Internet Control Panel/Security Page/Site to Zone Assignment List

    Specificando valore 1 per Intranet e valore 2 per Trusted.

    Sul seguente sito è spigato bene https://deployhappiness.com/managing-internet-explorer-trusted-sites-with-group-policy


    • Modificato Matteo C lunedì 25 gennaio 2016 07:49
    lunedì 25 gennaio 2016 07:19
  • Intanto grazie per la risposta. Il link che mi hai mandato non è raggiungibile. Ho provato comunque a seguire quanto mi hai detto, ma non trovo il punto in cui dici "Specificando valore 1 per Intranet e valore 2 per Trusted."

    lunedì 25 gennaio 2016 07:42
  • Ho corretto il link. Mettendo il focus su scheda sicurezza, sulla destra dovresti vedere "Elenco di assegnazione siti ad aree"
    lunedì 25 gennaio 2016 07:56
  • Grazie. Nel frattempo avevo trovato la seguente soluzione. Creare un gile usrlogn1.cmd da inserire nel C:\windows\system32 contenente i seguenti comandi:

    @echo off
    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sitoprova.it" /f
    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\renault.it\www" /f
    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\renault.it\www" /f /v "http" /t REG_DWORD /d 1

    cosa ne pensi?

    Alla fine credo sia la tua stessa soluzione.


    lunedì 25 gennaio 2016 08:33
  • Sinceramente in linea generale, se esiste una policy che fa quello che voglio preferisco usare la policy piuttosto che uno script.

    Se proprio vuoi aggiungere direttamente chiavi di registro... utilizzerei comunque, invece che uno script, le group policy preferences (sotto User configuration\Preferences\Windows Settings\Regitry). E' l'ultima opzione indicata nel link che ho postato prima. Tra le tre opzioni trovo comuque più comoda la prima soluzione che ti ho indicato.

    lunedì 25 gennaio 2016 08:50
  • Salve a tutti. Riprendo il post che avevo aperto per chiedere un'altra cosa:

    Ho utilizzato per motivi che non sto a descrivere, lo script usrlogn1.cmd per aggiungere siti consentiti nell'area intranet. Ora avevo due necessità:

    • togliere la compatibilità di Intranet che ho fatto 

    ed ottengo il risultato voluto

    Ora però dovrei impostare nelle impostazione File Temporanei Internet All'apertura della pagina web, e se possibile 50MB spazio su disco come riportato in figura. Sapreste darmi un indicazione ?

    Grazie

    lunedì 1 febbraio 2016 13:17