企業IT管理員IE11升級指南 系列:
【1】—— Internet Explorer 11增強保護模式 (EPM) 介紹
【2】—— Internet Explorer 11 對Adobe Flash的支持
【6】—— Internet Explorer 11面向IT專業人員的常見問題
【11】—— 通過SCCM 2012和WSUS部署Internet Explorer 11
【16】—— 使用Compat Inspector快速定位IE兼容性問題
如何把IEMP遷移到GPP
背景
Internet Explorer Maintenance (IEM) 從Internet Explorer 10以后就已取消。安裝Internet Explorer 10的客戶端不能從域控制器的組策略中取得IEM策略。
詳細信息可以參考以下文檔:
http://technet.microsoft.com/en-us/library/jj890998.aspx
當在Windows 2008 R2域控制上將Internet Explorer 升級到10+以, IEM 從GPO 的編輯窗口消失,見下圖
| Windows 2008 R2 DC上升級到IE10以前 |
Windows 2008 R2 DC上升級到IE10后 |
| |
|
這里主要介紹,如何將Windows 2012 域控制器和windows 2008 R2域控制器上的IEMP遷移到GPP中。
Windows 2012 DC:
將IEM的設置遷移到“Preferences -> Windows Settings -> Registry” 或 “Preferences -> Control Panel Settings -> Internet Settings”
詳細內容可以查看以下官方文檔:
How to configure Group Policy Preference settings for Internet Explorer 11 in Windows 8.1 or Windows Server 2012 R2: http://support.microsoft.com/kb/2898604
在本文的結尾,附錄了詳細的步驟供參考。
Windows 2008 R2 DC:
在Windows 2008 R2 域控制器上,在“Preferences -> Control Panel Settings -> Internet Settings” 中沒有 “IE10/IE11” 選項。這是目前的界面設計。
IT管理員可以使用 “Preferences -> Windows Settings -> Registry” 或logon scripts 來發布IE組策略。
詳細步驟在本文的詳細步驟章節。
| IT管理員可以使用 “Preferences -> Windows Settings -> Registry” 或logon scripts 來發布IE組策略 |
在Windows 2008 R2 域控制器上,在“Preferences -> Control Panel Settings -> Internet Settings” 中沒有 “IE10/IE11” 選項 |
| |
|
詳細步驟
已 “Internet Properties -> LAN Settings” 為例,演示如何通過以下三種方式進行設置:
這個演示中, “LAN Settings” 如下圖
1) 打勾 “Automatically detect settings”.
2) 啟用 “Proxy Server” 並設置為 “ProxyServer:8080”.
3) 選擇“Bypass proxy server for local addresses”.
方法 1: 使用 “Preferences -> Windows Settings -> Registry”
條件: 這個方法可用戶Windows 2008 R2 DC 和 Windows 2012 DC,可以發布到Windows 7以上操作系統的 IE8, IE9, IE10+。對於Windows XP客戶端,GPP可以在安裝“Group Policy Preference Client Side Extensions for Windows XP (KB943729)” http://www.microsoft.com/en-us/download/details.aspx?id=3628 后使用。
1) 在DC上的IE中配置“Internet Properties -> LAN Settings”:
如果需要“Exceptions”,配置如下:
2) 在GPO編輯窗口中選擇新建“Registry Item”。
3) 點擊下圖中的 “…” 按鈕,並選擇以下路徑 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections”,選擇 “DefaultConnectionSettings” 並點擊 “Select”按鈕。
4) 點擊“OK” 確認這設置。
5) 使用步驟3~4相同的方式,新建“Registry Item”。
輸入 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings” 並選擇 “ProxyEnable” 和點擊 “Select” 按鈕。
6) 輸入“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings” 並選擇 “ProxyServer” 和點擊“Select”按鈕。
7) 如果選擇了 “Bypass proxy server for local addresses” 或設置了 “Exceptions”,需要設置“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings” 並選擇 “ProvideOverride” 和點擊“Select”按鈕。
注意:如果打勾了 “Bypass proxy server for local addresses”, “ProvideOverride” 將在結尾包含 “<local>”,例如 “LocalServer;LocalServer1;<local>”.
8) 整個設置完成后,如下圖:
9) 在test OU 中發布這個GPO,這客戶端運行“gpupdate /force”,客戶將立即獲得這些設置。
10) 這個方式適用於IE8, IE9, IE10 和IE11客戶端。
方式 2: 使用 “Preferences -> Control Panel Settings -> Internet Settings”
條件: 這個方式可用於Windows 2008 R2 DC 和Windows 2012 DC,Wndows 2008 R2 DC可以發布給IE5-IE9客戶端;Windows 2012 DC 可以發布給IE5-IE11 客戶端。對於Windows XP客戶端,GPP可以在安裝“Group Policy Preference Client Side Extensions for Windows XP (KB943729)” http://www.microsoft.com/en-us/download/details.aspx?id=3628 后使用。
1) 根據DC 版本選擇:
| Windows 2008 R2 DC |
Windows 2012 DC |
| 在windows 2008 R2 DC 上,安裝 http://support.microsoft.com/kb/2530309, 這樣下圖中的“Internet Explorer 8” 選項將發布給IE8 和 IE9 客戶端。 |
在windows 2012 DC上,安裝http://support.microsoft.com/kb/2898604 這樣下圖中的“Internet Explorer 10” 選項將發布給IE10 和 IE11 客戶端 |
| |
|
2) 使用Windows 2012 DC上 “Internet Explorer 10” 演示例子: 點擊New Internet Explorer 10 Properties 窗口上的“LAN settings“ 按鈕,彈出下圖 Local Area Network(LAN) setting 窗口。當前相關設置項下有紅色虛線。
3) 完成設置后,按F5 (或 F6) 確認輸入,紅色虛線將變為綠色實線,如下圖。
注意:紅色虛線的內容將被忽略,只有在按F5后,相關設置才會開啟,紅色虛線將變為綠色實線,設置才會通過GPP發布給用戶端。相關功能鍵開啟/禁用設置說明如下:
功能鍵:
F5 – 開啟當前頁面上所有設置。
F6 – 開啟當前選中的設置。
F7 – 禁用當前選中的設置。
F8 –禁用當前頁面上所有設置。
4) 如上圖完成配置后,按 “OK” 按鈕。
5) 在test OU 中發布這個GPO,這客戶端運行“gpupdate /force”,客戶將立即獲得這些設置。
注意:類似的步驟可以用戶Windows 2008 R2 DC向IE8或更低版本IE客戶端發布IE配置。
方式3: 使用 “Logon Script”
條件:這個方式可用於Windows 2008 R2 DC 和 windows 2012 DC向IE6+ 客戶端發布配置。備注,完成IE8+版本的本地測試。
以下1到4步可以在任何一台IE機器上完成,這里我們簡單的已DC為例
1) 在DC 上完成“Internet Properties -> LAN Settings” 配置:
2) 用“regedit”命令在DC上打開注冊表編輯器,
3) 導出下面的值到“registry.reg”
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="proxyserver:8080"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"DefaultConnectionSettings"=hex:46,00,00,00,5e,01,00,00,0b,00,00,00,10,00,00,\
00,70,72,6f,78,79,73,65,72,76,65,72,3a,38,30,38,30,13,00,00,00,3c,2d,6c,6f,\
6f,70,62,61,63,6b,3e,3b,3c,6c,6f,63,61,6c,3e,00,00,00,00,01,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,\
00,02,00,00,00,0a,ac,12,24,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00
4) 創建批處理文件“Test.bat”,內容如下:
reg import registry.reg
5) 復制“registry.reg” 和 “Test.bat” 到DC policy sysvol路徑(類似:“sysvol/domain/Policies/GPOUniqueID/User/Scripts/Logon),並設置“Test.bat” 為 logon script.
6) 在test OU 中發布這個GPO,IE客戶端重登錄系統后將獲得這些設置。
參考鏈接
Red / Green: GP Preferences doesn’t work even though the policy applied and after gpupdate \force
How to Add Trust Sites into IE before IE10 through Group Policy
How to configure Internet Explorer security zone sites using group polices