在组策略管理中,当我单击现有的 GPO 时,我收到一条 Internet Explorer 增强安全配置消息,提示“about:security_mmc.exe”不是受信任的站点。
每次我单击不同的 GPO 时都会发生这种情况。我读到将其添加到受信任的站点列表中,我这样做了。当我执行 gpresult 时,我确认它在策略中。
但我仍然收到此消息。我还需要做什么才能让它不再弹出?
答案1
作为一个花了半天时间研究和做监控流程和注册表等事情的人,想知道为什么站点到区域分配列表GPO 不适用于启用了 IE 增强安全配置的服务器,我可能找到了解决方案。我们始终使用 GPO 的计算机设置部分将其强制应用于整个计算机/服务器(除非需要将其应用于特定用户组,否则我们不使用用户设置。在这种情况下,我们组织中的此策略需要应用于设备。)
我们不会关闭任何服务器上的 IE 增强安全配置(IE ESC),我决心找到解决方案。
在监视注册表/进程资源管理器并仔细检查之后,我发现了问题。
当您设置站点到区域分配列表,它会将此信息写入注册表以:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
如果 IE ESC 已关闭,当您转到:
Control Panel
->Internet Options
->Security tab
->Trusted Sites zone
->Sites button
您将会看到那里列出的站点。
如果 IE ESC 处于打开状态,则上面控制面板中的相同位置会产生一个空白列表,正如另一个回应指出的那样。
问题是当 IE ESC 开启时,我发现它才不是使用上面的注册表位置。它会从此位置读取:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
(注册表项前缀为Esc键)似乎没有办法在策略中修复此问题 - 但是,可以通过手动编写注册表项来解决此问题,或者,对于策略,我在以下位置添加了一个条目:
Computer Configuration->Preferences->Windows Settings->Registry
看起来像这样:
Preferences
Registry
about (Order: 1)
General
Action: Update
Properties
Hive: HKEY_LOCAL_MACHINE
Key path: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\security_mmc.exe
Value name: about
Value type: REG_DWORD
Value data: 0x2 (2)
Common
Options
Stop processing items on this extension if an error occurs on this item: No
Remove this item when it is no longer applied: No
Apply once and do not reapply: No
将此条目添加到我们现有的策略中,并设置站点到区域分配列表,我已将其推送到我们所有的服务器,现在打开 IE ESC 模式,它会显示在站点列出可信任的网站正如它应该的那样 - 并且它的行为也正如它应该的那样。
处理/查看政策时不再有警告!
担
答案2
只要你使用站点到区域分配列表在(计算机)GPO 中:其他所有内容(包括内置内容)均被阻止,并且您无法看到列表。
我必须做一些测试来准确查明其来源,但长话短说:更喜欢使用(用户端)区域映射 GPO,它只是添加注册表项。
JJStellato 的回答来自此社交 TechNet 帖子帮我弄清楚了。以及 Alan Burchill 的最后回复。
