«

»

Не обновляются Trusted Sites через GPO (IEM) в IE 6/8 на Server 2003 (Citrix)

Проблема

Не обновляются Trusted Sites через GPO (Internet Explorer Maintenance) в IE 8 на Server 2003 (Citrix). После установки IE 8 перестали обновляться-применятся  Trusted Sites (Надежные узлы) через GPO. Проблема так же была и с некоторыми IE 6. Было видно, что GPO применялась на серверах (gpresult /z ), а результата именно в Trusted Sites нет.

Разница между серверами где применяется Trusted Sites (seczones.inf), а где нет в логе – %USERPROFILE%\Local Settings\Application Data\Microsoft\Internet Explorer\brndlog.txt. Brndlog.txt лог файл, генерируется IE (client-side extension - iedkcs32.dll). Этот файл содержит сведения от IE Maintenance Policies.

  • Включить расширенный режим Debug.

For IE8: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup\8.0]

(DWORD)"DebugAppendBrndLog"=1

For IE9: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup\9.0]

(DWORD)"DebugAppendBrndLog"=1

Больше информации (Troubleshooting brndlog.txt ) - Internet Explorer Maintenance brndlog.txt

  • Не обновляются Trusted Sites. Brndlog.txt
Processing current user policies and restrictions...

! processExtRegInfSectionHelper for section"ExtRegInf.Hkcu".

! Key is  "SOFTWARE\Microsoft\Active Setup\Installed Components\
{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}".

Delaying execution of n:\Documents and Settings\user\Local Settings\Application Data\
Microsoft\Internet Explorer\Custom Settings\Custom3\seczones.inf.

"seczones.inf" processed successfully.

! Key is  "SOFTWARE\Microsoft\Active Setup\Installed Components\
{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}".

Machine is not hardened

Создается дополнительный ключ в реестре.

HKEY_CURRENT_USER\Software\Microsoft\IEAK\GroupPolicy\PendingGPOs

TrustedSites01

  •  Обновляются Trusted Sites. Brndlog.txt
Processing current user policies and restrictions...

! processExtRegInfSectionHelper for section"ExtRegInf.Hkcu".

! Key is  "SOFTWARE\Microsoft\Active Setup\Installed Components\
{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}".

Not Delaying executing n:\Documents and Settings\user\Local Settings\Application Data\
Microsoft\Internet Explorer\Custom Settings\Custom3\seczones.inf.

"seczones.inf" processed successfully.

! Key is  "SOFTWARE\Microsoft\Active Setup\Installed Components\
{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}".

Machine is not hardened

Решение

Скопировать параметры (Version & Locale) из HKLM в HKCU.

HKLM\Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}\Version

HKLM\Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}\Locale

Если раздела - {89820200-ECBD-11cf-8B85-00AA005B4383} нет (была проблема с IE 6) в HKCU,  то его нужно создать.

Была разница в версиях.

HKCU "Version"="6,0,3790,1830"

HKLM "Version"="8,0,6001,18702"

Для получения информации обратитесь к

Дополнительная информация

  • Путь для Trusted Sites, если включена ESC (Enhanced Security Configuration) в IE.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains

  • Путь для Trusted Sites, если ESC отключена.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

  • Проверка подлинности пользователя. Параметр входа в систему (1A00).

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2

Параметр    Значение
---------------------------------------------------------------
0x00000000 Автоматический вход в систему с текущим именем пользователя и паролем
0x00010000 Запрос имени пользователя и пароля
0x00020000 Автоматический вход в систему только в зону местной интрасети
0x00030000 Анонимный вход в систему
  • Если в групповой политике включен параметр Computer Configuration/Administrative Templates/Windows Components/Internet Explorer/Security Zones: Use only machine settings (Зоны безопасности: использовать только параметры компьютера) используются только локальные параметры компьютера, и для всех пользователей используются одинаковые параметры, безопасности:
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
    Если в групповой политике параметр Зоны безопасности: использовать только параметры компьютера не включен, применяются параметры как компьютера, так и пользователя. Однако в свойствах обозревателя отображаются только пользовательские параметры.
  •  Проверить из реестра, активен ли компонент ESC. (параметр IsInstalled = 1-включен 0-выключен).

(для Admin) - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}

(для User) - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}

TrustedSites02

  • Важный параметр обработка (IEM) политики - Internet Explorer Maintenance policy processing. Путь: Конфигурация компьютера\Административные шаблоны\Система\Групповая политика (Computer Configuration\Administrative Templates\System\Group Policy).

Разрешить обработку через медленное сетевое подключение (Allow Processing Across A Slow Network Connection) Гарантирует, что параметры будут обработаны независимо от скорости подключения.

Не применять во время периодической фоновой обработки (Do Not Apply During Periodic Background Processing) Политика будет обрабатываться только при запуске компьютера или регистрации пользователя.

Обрабатывать, даже если объекты групповой политики не изменились (Process Even If The Group Policy Objects Have Not Changed)   При обновлении политика будет обрабатываться, даже если ее параметры не изменились.

  • По умолчанию, медленное сетевое подключение считается ниже 500 кбит/с. Обнаружив скорость соединения ниже 500 кбит/с, клиентский компьютер фиксирует медленное подключение и уведомляет контроллер домена. После этого в процессе обновления контроллер домена передает клиенту только параметры безопасности и административные шаблоны из применимых объектов политики. По умолчанию при обнаружении медленного подключения не обрабатываются следующие разделы политики:

Обработка беспроводной политики (Wireless Policy Processing);

Обработка политики восстановления EFS (EFS Recovery Policy Processing);

Обработка политики дисковых квот (Disk Quota Policy Processing);

Обработка политики настройки Internet Explorer (Internet Explorer Maintenance Policy Processing);

Обработка политики перенаправления папки (Folder Redirection Policy Processing);

Обработка политики сценариев (Scripts Policy Processing);

Обработка политики установки программ (Software Installation Policy Processing);

Обработка политики ІР-безопасности (IP Security Policy Processing).

При медленном подключении обрабатывается только раздел Обработка политики безопасности (Security Policy Processing). По умолчанию политика безопасности обновляется каждые 16 часов, даже если она не изменялась.

Permanent link to this article: http://www.blogss.ru/trusted-sites-in-gpo-are-not-applying-server-2003-citrix-terminal

Добавить комментарий

Your email address will not be published.