因此,我只需设置一个用户级 GPO 即可将网站应用到受信任的站点区域。当登录到桌面并尝试访问该网站时,它会正常工作,并且该网站会正常显示在受信任的站点区域中。现在的问题是,当尝试通过 RDP 连接到终端服务器时,用户无法访问该网站,并且该网站不会显示在受信任的站点区域中。有什么想法吗?
答案1
核心问题很简单,当启用 IE ESC 时,Microsoft 的站点到区域分配的 GPO 就会损坏。
以下是站点分配存储方式的列表。
- 没有 ESC,没有 GPO,使用 UI:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
- 使用 ESC,无 GPO,使用 UI:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
- 没有 ESC,使用 GPO:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
- 使用 ESC,使用 GPO:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
问题出在最后一个条目上。您使用 ESC 和 GPO 的情况。使用 ESC 时,Internet Explorer 会查找“EscDomains”子键,而不是“Domains”子键。GPO 不会将您请求的区域分配应用到 IE 将要查找的键上。不幸的是,我也不知道如何解决这个问题。
答案2
如果 gpresult 显示 gpo 正在应用,我猜想终端服务器已配置为 Internet Explorer 增强安全配置 (ESC)。可以在服务器管理器中禁用该配置。
如果 gpo 未应用,则可能是由于终端配置了环回 gpo 处理。