web-dev-qa-db-ja.com

なぜSiteToZoneAssignment GPOが適用されますが、IE

Windowsサーバー2012 R2リモートデスクトップファームがあり、GPOを適用して、サイトとゾーンの割り当てを制御しています。

これは最近まで問題なく機能していましたが、最近、この設定が適用されないことがわかりました。

ESCをオンに切り替えてから、現在のサーバーで再びオフにすると、サイトは現在ログインしているユーザーのIEゾーンリストに表示されます。ただし、すべてのユーザーに当てはまるとは限りません。その後、そのサイトのリストは他のサーバーに続き、そのユーザーは順調に進みます。

ユーザープロファイルディスクを使用しているため、ログインしていない限り、そのサーバーでユーザーレジストリHiveを使用できません。これは、ログインしたテストユーザーに対してのみ発生する理由を説明している可能性があります。

[〜#〜] edit [〜#〜]:HKCU ZoneMapKeyおよびHKLM ZoneMapの下に作成されているレジストリエントリを確認できます。

this の記事によると、IEは両方の場所の設定を読み取る必要がありますが、IEコントロールパネルのサイトリストには表示されません。

この問題の原因となっているESCレジストリ設定を変更した2012のアップデートがあった可能性はありますか?

3
James Edmonds

新しいユーザーアカウントを作成し、初めてログオンしたときに、GPOが適用されていたとしても、IEにサイトが表示されないという同じ問題が発生しました。

私はHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapで見つけました、IEHardenというキーがあります(同様のESCの種類の問題で、2003年の名前を思い出しました)。サーバーのESCがオフになっているように見えますが、このキーは1に設定されています。これを削除するか0に設定すると、サイトはインターネットコントロールパネルにすぐに表示され、期待どおりに機能します。

だから私は問題の原因を知っており、ログイン時にユーザーごとにそのキーを削除して回避策を見つけるのに十分ですが、なぜそのキーが1に設定されているのか、またはそもそも存在するのか(いくつかすでにサイトを見ることができたユーザーは、そのキーさえ持っていません!)。繰り返しになりますが、私は何らかの方法でIE ESCをいじったアップデートにのみ戻ることができます。

[〜#〜]編集[〜#〜]

今、完全な答えを持っています。

8つのセッションのホストのうち2つはIEHardenキーを使用してプロファイルを作成しましたが、他は作成しませんでした(これら2つは私たちのコンサルタントによってセットアップされましたが、尋ねた後は無知です)。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapの下にあるようですが、IEHardenキーが存在していたため、そのサーバーで作成されたすべての新しいプロファイルに与えられていました。

両方からキーを削除し、すべてを通常に戻しました!

3
James Edmonds

情報を投稿してくれたJamesに感謝します。この問題に直面している人にとって、探す鍵は次のとおりです。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IEHarden
0
Greg