none
インターネットオプションのセキュリティについて RRS feed

  • 質問

  • お世話になります。
    グループポリシーの設定に関して不可解な点があり
    質問させていただきます。

    ====================================================================================
    【構成】
    DC       :Windows2008×2 (2台ともGC)
    ドメイン参加端末:Vista Bussiness


    グループポリシーにて以下の設定を考えています。

    各ドメインユーザのインターネットオプションのセキュリティ(信頼済みサイト)
    ①「ポップアップブロックの使用」                  ⇒無効
    ②「フィッシング詐欺検出機能を使う」               ⇒無効
    ③「ファイルのダウンロード時に自動的にダイアログを表示」 ⇒有効

    上記を設定するにあたりDefault Domain Policyにて下記の箇所を設定しています。

     ユーザの構成>
      ポリシー>
       Windowsの設定>
        InternetWxplorerのメンテナンス>
         セキュリティ>
          セキュリティゾーンおよびコンテンツの規制(優先モード)

       ※ テンプレートは未定義

    これで設定が可能と想定していましたが、実際端末にログオンして確認してみると
    ①のポリシーは適用されていますが②③が適用されません。

    また上記設定箇所の代わりに、下記を設定すれば②③も設定できることを確認しました。
    (ただし端末側での設定変更は不可に)

     ユーザの構成>
      ポリシー>
       管理用テンプレート>
        Windowsコンポーネント>
         InternetExplorer>
          インターネットコントロールパネル>
           セキュリティページ>
            信頼済みサイトゾーン


    前述の設定箇所にもちゃんと設定項目があるのに、実際にはポリシーが
    適用されていないのはなぜでょうか?

    保守管理上の複雑さを避けるため、できれば前述の一箇所のみでインターネットオプションの
    セキュリティ設定を行いたいと考えております。
    ====================================================================================


    以上、宜しくお願い致します。

    2009年9月2日 9:12

回答

  • Nekota0です。

    > これで設定が可能と想定していましたが、実際端末にログオンして確認してみると
    > ①のポリシーは適用されていますが②③が適用されません。

    [Internet Explorerのメンテナンス]ポリシーを優先モードで実行した場合、一度しか適用されないため、
    何らかのはずみで②③が適用されなかった可能性があります。②③が適用されなかった原因までは
    分かりませんが、②③を確実に適用したいのであれば、非優先モードで実行してみてはいかがでしょうか。

    優先モードから非優先モードに切り替えるには、[Internet Explorer のメンテナンス] を右クリックし、
    [ブラウザのオプションをリセットする] をクリックします。
    # ただし、設定はすべて失われるため、再設定の必要があります。

    参考:優先モードで Internet Explorer のメンテナンス ポリシーが適用されない
    http://support.microsoft.com/kb/825685/ja

    > また上記設定箇所の代わりに、下記を設定すれば②③も設定できることを確認しました。
    > (ただし端末側での設定変更は不可に)

    管理用テンプレートの方の設定は、ユーザーに設定を強制したい場合に使用します。従って、端末側での
    設定変更は不可になります。

    2009年9月7日 1:39

すべての返信

  • こんにちは、阿部です。

    質問に対する回答というわけではないのですが、ちょっと気になったのでコメントさせていただきます。

    なぜ設定が適用されていないのかはわかりませんが、目的の設定が適用されることは確認済みということですのでそれを前提としてお話しいたします。

    保守管理上の複雑さを避けるというのが目的ということですので、別のアプローチのご提案です。

    気になった点は「Default Domain Policy」に対して設定しているということです。

    通常、Default Domain Policyを変更するのはお勧めいたしません。ここに設定するということは、ドメイン配下の全てのユーザー&コンピューターに対する設定を行うということになります。AD管理の容易性の観点からGPOは役割毎のGPOを作成し目的のOUに対して適用させるべきです。

    今回はIEの設定をGPOにて行いたいということですので、別途IE用のGPOを作成し(たとえばIE Policy GPO)そのGPOに対してこの設定を行えば保守管理は楽になるのではないでしょうか?

    また、そのポリシーをやめたいときはリンクをはずすことによりやめられます。
    2009年9月2日 9:56
    モデレータ
  • お世話になります。

    >阿部さん
    ご指摘ありがとうございます。
    設定部分のみの質問だったため周辺情報を省略しておりました。

    名称としてはDefault Domain Policyですが、これは設定前にコピーを作成し
    そちらをorgとして凍結しておりますので問題ない認識です。
    十数台程度の規模の小さなドメインですので
    GPO自体基本的に一つしか作成しない方針です。
    2009年9月3日 2:58
  • Nekota0です。

    > これで設定が可能と想定していましたが、実際端末にログオンして確認してみると
    > ①のポリシーは適用されていますが②③が適用されません。

    [Internet Explorerのメンテナンス]ポリシーを優先モードで実行した場合、一度しか適用されないため、
    何らかのはずみで②③が適用されなかった可能性があります。②③が適用されなかった原因までは
    分かりませんが、②③を確実に適用したいのであれば、非優先モードで実行してみてはいかがでしょうか。

    優先モードから非優先モードに切り替えるには、[Internet Explorer のメンテナンス] を右クリックし、
    [ブラウザのオプションをリセットする] をクリックします。
    # ただし、設定はすべて失われるため、再設定の必要があります。

    参考:優先モードで Internet Explorer のメンテナンス ポリシーが適用されない
    http://support.microsoft.com/kb/825685/ja

    > また上記設定箇所の代わりに、下記を設定すれば②③も設定できることを確認しました。
    > (ただし端末側での設定変更は不可に)

    管理用テンプレートの方の設定は、ユーザーに設定を強制したい場合に使用します。従って、端末側での
    設定変更は不可になります。

    2009年9月7日 1:39
  • こんにちは。
    お世話になります。

    >Nekota0さん
    返信ありがとうございます。

    ただいま実機を触れる環境にないので確認はできませんが
    ご教授いただいたとおり、優先モードで実行しているためという気がしてきました。
    (思い返してみれば、②③はあとから追加で設定しました)

    教えていただいた方法でいろいろと試してみて
    確認とれ次第まだご報告させていただければと思います。
    2009年9月9日 8:22
  • こんにちは、フォーラムオペレーターの三沢健二です。

    みなさん、回答・アドバイスありがとうございます。

    statice さん、その後いかがでしょうか?

    今回、Nekota0 さんに案内いただいた内容が、参考になられたとの事でしたので、ひとまず私の方で [回答としてマーク] のチェックを付けさせていただきました。
    よろしければ、その後の経緯などお知らせいただけると嬉しいです (^^)

    IE のポリシーは、その他の設定の影響で思うような適用結果にならない場合がありますので、なかなか難しいところです ^_^;
    以下のような KB もありますので参考にしてみてください。

    - 参考情報
    Windows Server 2008 および Windows Server 2003 で [Internet Explorer のセキュリティ強化の構成] を有効にしている場合、[Internet Explorer のメンテナンス] ポリシーで設定したサイトの設定が、Windows XP または Windows Vista クライアントに反映されない
    http://support.microsoft.com/kb/960593/ja


    それでは、また何かありましたら TechNet フォーラムをぜひご利用ください!

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年10月2日 9:13
    モデレータ