为什么 SiteToZoneAssignment GPO 适用,但网站未出现在 IE 中

为什么 SiteToZoneAssignment GPO 适用,但网站未出现在 IE 中

我们有一个 Windows Server 2012 R2 远程桌面场,我们已对其应用 GPO 来控制站点到区域的分配。

直到最近,它都运行良好,但最近我们发现此设置不适用。

如果我打开 ESC,然后在我所在的服务器上关闭,则网站现在会显示在当前登录用户的 IE 区域列表中。但是,这似乎并不适用于所有用户。然后,该网站列表将跟随他们到其他服务器,并且该用户将可以继续前进。

我们使用用户配置文件磁盘,因此除非用户登录,否则用户注册表配置单元在该服务器上不可用,这也许可以解释为什么它只发生在登录的测试用户身上。

编辑:我可以看到在 HKCU ZoneMapKey 和 HKLM ZoneMap 下创建的注册表项。

根据文章中,IE 应该从这两个位置读取设置,但它们根本没有出现在 IE 控制面板中的站点列表中。

是否有可能是 2012 年的更新改变了某些 ESC 注册表设置,从而导致了此问题?

答案1

我创建了一个新的用户帐户,第一次登录时,也遇到了同样的问题,即使应用了 GPO,网站也无法在 IE 中显示。

我在 中发现HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap,有一个名为IEHarden(我记得这个名字,因为我在 2003 年也遇到过类似的 ESC 问题)。看起来,即使服务器已关闭 ESC,此键仍设置为 1。删除或将其设置为 0 时,网站会立即出现在互联网控制面板中,并按预期工作。

因此,尽管我知道问题的原因,并且有足够的能力通过删除每个用户登录时的密钥来解决问题,但我仍然不明白为什么该密钥设置为 1,甚至根本不存在(一些已经可以看到网站的用户甚至没有该密钥!)。我只能再次回到以某种方式干扰 IE ESC 的更新。

编辑

现在有了完整的答案;

我们的 8 个会话主持人中有两个人使用 IEHarden 键创建了配置文件,而其他人没有(这两个是由我们的顾问设置的,尽管问过他们之后他们也一无所知)。

似乎HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapIEHarden 键存在,因此被提供给在该服务器上创建的所有新配置文件。

删除了两者的密钥,现在一切恢复正常!

答案2

感谢 James 发布的信息。对于任何遇到此问题的人来说,要寻找的关键是:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IEHarden

答案3

此外IEHardenHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap我在我的公司也IsInstalled设立HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}dword:00000000

这两个注册表设置确实为我们彻底解决了这个问题。之前 IEHarden 不知何故在一段时间后被设置回 1。

相关内容