none
Не отрабатывает политика Internet Explorer Security Zones для Internet Explorer RRS feed

  • Вопрос

  • Добрый день!

    Помогите разобраться не отрабатывает политика Internet Explorer Security Zones для Internet Explorer.

    Сервера на базе Windwos Server 2012 R2

    1. Создал политику

    2. На сервере на котором мне нужно чтобы она отрабатывала отключил  Internet Explorer Enhanced Security Configuration.

    3.  При входе под собой, вхожу в группу Domain Admins политика отрабатывает.

    4. Если захожу под каким-то другим пользователем, с правами пользователя (и даже я давал права и локального администратора и включал в групп Domain Admins), то политика не отрабатывает. 

    Вот собственно и проблема. Помогите решить. 

    9 декабря 2015 г. 8:51

Ответы

  • Вообщем проблему решил, а решается она просто, оказывает, нужно у того пользователя, на котором не отрабатывают зоны, сбросить настройки браузера - Свойства браузера - Дополнительно и кнопка Сброс.

    http://windowsnotes.ru/other/otklyuchaem-konfiguraciyu-usilennoj-bezopasnosti-internet-explorer/

    Об этом пишет Дмитрий в комментариях:

    Если не срабатывает отключение Enchanced Security у какого либо пользователя, то необходимо запустить под этим пользователем в терминале IE и выполнить сброс настроек браузера (Сервис-Свойства браузера-Вкладка «Дополнительно»-Кнопка «Сброс»).

    Спасибо Zaza за помощь.



    • Изменено vdv85 12 декабря 2015 г. 12:04
    • Помечено в качестве ответа vdv85 12 декабря 2015 г. 12:04
    12 декабря 2015 г. 12:04

Все ответы

  • Здравствуйте!

    А что у Вас указано в Security filtering самой политики?

    Пробовали gpupdate /force ?

    Что говорит gpresult? 

    9 декабря 2015 г. 9:11
  • Спасибо, что откликнулись.

    1) Security filtering - Authenticated Users

    2) не однократно делал gpupdate /force и перегружал 

    3) Что говорит gpresult?

    Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
    c 2013 Microsoft Corporation. All rights reserved.
    
    Created on 09.12.2015 at 12:49:39
    
    
    
    RSOP data for DOMAIN\administrator on SERVER-RDP : Logging Mode
    ----------------------------------------------------------------
    
    OS Configuration:            Member Server
    OS Version:                  6.3.9600
    Site Name:                   Default-First-Site-Name
    Roaming Profile:             N/A
    Local Profile:               C:\Users\administrator.DOMAIN
    Connected over a slow link?: No
    
    
    COMPUTER SETTINGS
    ------------------
        CN=SERVER-RDP,OU=Servers,DC=domain,DC=local
        Last time Group Policy was applied: 09.12.2015 at 12:49:05
        Group Policy was applied from:      DC2.domain.local
        Group Policy slow link threshold:   500 kbps
        Domain Name:                        DOMAIN
        Domain Type:                        Windows 2008 or later
    
        Applied Group Policy Objects
        -----------------------------
            IE
            Terminal Server Settings
            Restricted Backup Users
            Restricted Users RDP
            PublicateCert
            Restricted Local Administrators
            Default Domain Policy
    
        The following GPOs were not applied because they were filtered out
        -------------------------------------------------------------------
            Local Group Policy
                Filtering:  Not Applied (Empty)
    
        The computer is a part of the following security groups
        -------------------------------------------------------
            BUILTIN\Administrators
            Все
            BUILTIN\Users
            СЕТЬ
            Прошедшие проверку
            Данная организация
            SERVER-RDP$
            Domain Computers
            Подтвержденное центром проверки подлинности удостоверение
            RAS and IAS Servers
            Обязательный уровень системы
            
    
    USER SETTINGS
    --------------
        CN=Administrator,CN=Users,DC=domain,DC=local
        Last time Group Policy was applied: 09.12.2015 at 12:49:07
        Group Policy was applied from:      DC2.domain.local
        Group Policy slow link threshold:   500 kbps
        Domain Name:                        DOMAIN
        Domain Type:                        Windows 2008 or later
        
        Applied Group Policy Objects
        -----------------------------
            IE
            PublicateCert
    
        The following GPOs were not applied because they were filtered out
        -------------------------------------------------------------------
            Local Group Policy
                Filtering:  Not Applied (Empty)
    
        The user is a part of the following security groups
        ---------------------------------------------------
            Domain Users
            Все
            BUILTIN\Users
            BUILTIN\Administrators
            REMOTE INTERACTIVE LOGON
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку
            Данная организация
            ЛОКАЛЬНЫЕ
            Domain Admins
            Group Policy Creator Owners
            Organization Management
            Schema Admins
            UDoc_L
            Enterprise Admins
            SPServiceBusManagers
            SPWorkflowManagers
            Подтвержденное центром проверки подлинности удостоверение
            Denied RODC Password Replication Group
            LDoc_L
            Высокий обязательный уровень
            
    

    9 декабря 2015 г. 10:53
  • Политику создавали на данном сервере или импортировали ?

    Для пользователей ESC отключен?

    Выполните еще раз:

    gpupdate /force

    logoff - logon и проверайте.

    • Предложено в качестве ответа Zaza Abramov 10 декабря 2015 г. 22:52
    • Отменено предложение в качестве ответа Zaza Abramov 11 декабря 2015 г. 19:22
    9 декабря 2015 г. 18:18
  • Политика создавалась в AD, ESC отключен. 
    11 декабря 2015 г. 18:46
  • Политика создавалась в AD, ESC отключен. 

    Странно, проверил, не отрабатывает только если включить ESC для пользователя.

    Кстати, на новосозданном пользователе, после первого подключения через RDP, политика не отработала. Может не дождался.

    Сделал gpupdate /force

    logoff/logon, тпереь все хорошо

    • Изменено Zaza Abramov 11 декабря 2015 г. 19:50
    11 декабря 2015 г. 19:28
  • Проверил еще раз, но на другом сервере, там отрабатывает как у вас, а вот именно на этом похоже не хочет- сервер терминальный. Полтергейст. 
    11 декабря 2015 г. 21:43
  • А если попробовать через реестр на локальном сервере?

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\localdomain.ru]
    "*"=dword:00000001
    Если даже отработает, хотелось бы узнать от гуру, как это должно работать.

    • Изменено Zaza Abramov 12 декабря 2015 г. 0:05
    12 декабря 2015 г. 0:04
  • В реестре есть данный параметр. А может нужно как-то сбросить политики на сервер и применить снова?
    12 декабря 2015 г. 9:11
  • В реестре есть данный параметр. А может нужно как-то сбросить политики на сервер и применить снова?

    Точно тут: HKEY_LOCAL_MACHINE\SOFTWARE\Policies ?

    Попробуйте в груповйо политики задать значение тут:

    User Configuration/Policies/Administrative Templates/Windows Components/Internet Explorer/Internet Control Panel/Security Page

    Я другой информации пока не владею, давайте подождем тогда знатоков.


    • Изменено Zaza Abramov 12 декабря 2015 г. 9:34
    12 декабря 2015 г. 9:26
  • По пробывал следующее, но эффекта нет:

    - перевел сервер в отдельную OU, отключил все политики

    - удалил руками HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    - применил gpupdate /force

    - сделал logoff и logon

    - применил только политику по IE

    - применил gpupdate /force

    - сделал logoff и logon

    - в реестре записи есть, но под пользователей не работает..

    12 декабря 2015 г. 9:36
  • Через Group policy пробовали тут?
    User Configuration/Policies/Administrative Templates/Windows Components/Internet Explorer/Internet Control Panel/Security Page
     Ну и из локальной политики надо убрать лишнее
    • Изменено Zaza Abramov 12 декабря 2015 г. 10:03
    12 декабря 2015 г. 9:41
  • Вообщем проблему решил, а решается она просто, оказывает, нужно у того пользователя, на котором не отрабатывают зоны, сбросить настройки браузера - Свойства браузера - Дополнительно и кнопка Сброс.

    http://windowsnotes.ru/other/otklyuchaem-konfiguraciyu-usilennoj-bezopasnosti-internet-explorer/

    Об этом пишет Дмитрий в комментариях:

    Если не срабатывает отключение Enchanced Security у какого либо пользователя, то необходимо запустить под этим пользователем в терминале IE и выполнить сброс настроек браузера (Сервис-Свойства браузера-Вкладка «Дополнительно»-Кнопка «Сброс»).

    Спасибо Zaza за помощь.



    • Изменено vdv85 12 декабря 2015 г. 12:04
    • Помечено в качестве ответа vdv85 12 декабря 2015 г. 12:04
    12 декабря 2015 г. 12:04
  • Вообщем проблему решил, а решается она просто, оказывает, нужно у того пользователя, на котором не отрабатывают зоны, сбросить настройки браузера - Свойства браузера - Дополнительно и кнопка Сброс.

    http://windowsnotes.ru/other/otklyuchaem-konfiguraciyu-usilennoj-bezopasnosti-internet-explorer/

    Об этом пишет Дмитрий в комментариях:

    Если не срабатывает отключение Enchanced Security у какого либо пользователя, то необходимо запустить под этим пользователем в терминале IE и выполнить сброс настроек браузера (Сервис-Свойства браузера-Вкладка «Дополнительно»-Кнопка «Сброс»).

    Спасибо Zaza за помощь.



    И Вам спасибо, что поделились!

    12 декабря 2015 г. 12:54