我们的 Active Directory 域由 Windows Server 2012 R2 服务器和 Windows 7 工作站组成,使用此组策略设置配置 Internet Explorer 安全区域:
Computer Configuration/Policies/Administrative Template/Windows Components/Internet Explorer/Internet Control Panel/Security Page/Site to Zone Assignment List
但是,这对启用了 IE 增强安全配置的服务器没有影响。如何使用组策略配置它们?理想情况下,我希望在有和没有 ESC 的情况下应用相同的设置,而无需将它们列出两次。
答案1
每个 ZoneMap 键下都有单独的“ESC 开启”和“ESC 关闭”设置。如果 ESC 开启,则只有使用 EscDomains 和 EscRanges 子键;如果 ESC 关闭,则仅使用 Domains 和 Ranges 子项下的设置。
https://msdn.microsoft.com/en-us/library/ms537181%28v=vs.85%29.aspx
因为您想要机器设置,所以它们可以像这样配置;
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\mytest.org ... ]
由于设置不是通过正常的 ZoneMap GPO 设置进行的,我建议使用 GPP 在 GPO 中设置注册表项
答案2
除了添加 EscDomains 注册表项之外yagmoth555的回答,我必须将其设置HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_IGNORE_POLICIES_ZONEMAP_IF_ESC_ENABLED_KB918915\*为1(DWORD)才能应用注册表设置。
https://support.microsoft.com/en-gb/kb/918915描述了问题。我最初忽略了它,因为它适用于 Windows Server 2003,而我们运行的是 2012 R2。事实证明,虽然不需要将修补程序应用于更高版本的 Windows Server,但仍需要使用此注册表项启用它。