Windows не удалось применить настройки сопоставления зон Internet Explorer

Обновлено: 21.11.2024

Ein Häufig auftretendes Problem bei der Verarbeitung der GPOs betriff die Verarbeitung der Internet Explorer Einstellungen, insbesondere Site To Zone (S2Z) Mapping Liste. Folgende Einträge lassen sich a) im Eventlog oder b) in der CMD bei einem handisch ausgeführten gpupdate finden:

Ein paar Details zu dem Fehler lassen sich aus dem Журнал службы клиента групповой политики отключен, поэтому он не активен. Aber auch ohne das Log Liegt der Fehler i.d.R. daran, dass in der GPO, die das Zonenmapping configuriert, ein Syntaxoder Logikfehler drin ist.

Синтаксис

Список назначения сайта в зону (S2Z) лучше всего содержит URL-адреса. URL-адреса не более 5 компонентов:

S2Z имеет преимущества перед хостом или IP-адресом. Для SMB-сервера (файл://) можно использовать необязательную ссылку в имени общего ресурса. Die Angabe von Protokoll является необязательным. Benutzername/Password ist prinizipell nicht zulässig. Die Angabe von Port und Pfad ist ebenfalls optional und wird während der Verarbeitung entfernt.

Wird ein Host angegeben, muss dies entweder als einzelner Hostname oder als mindestens dreiteiliger FQDN (Hostname, SLD, TLD) angegeben werden.

Zusätzlich unterstützt S2Z an einigen Stellen „ * “ Подстановочные знаки (keine „ ? “ Подстановочные знаки!), genauer gesagt zwei Подстановочные знаки: eine Подстановочный знак для протокола и eine Подстановочный знак для имени хоста или имени узла IP-адреса. Необходимо использовать подстановочные знаки и выполнять другие функции с подстановочными знаками (пока не набрано).

Leider ist die Синтаксис darüber hinaus extrem schlecht dokumentiert, dennoch kann man sich behelfen, wenn man nicht sicher ist. Dazu nutzt man einen Client, bei dem die GPO nicht angewendet wird und das Zonenmapping frei konfigurierbar ist. Auf diesem PC öffnet man die IE Einstellungen und fügt seine Einträge in die gewünschte Zonen-Liste ein. Ist alles korrekt, lässt sich sich speichern. Ist ein Eintrag falsch, erfährt man dies durch ein Popup, in dem auch auf einige Beispiele mit Wildcards eingegangen wird:

Man kann nun den Fehler entsprechend solange korrigieren, bis die Einträge gespeichert werden können. Jetzt kann man die Einträge 1:1 in die GPO übernehmen, da die Syntax in der GPO der Syntax einer manuellen Configuration entspricht.

Логика
Требование к протоколу

Умирает человек, освобождающий человека от объекта групповой политики. Опция деактивируется, распространяется на компьютер-Ebene oder (wie im folgenden Beispiel) для каждого пользователя.

Отключение параметров для зон Местная интрасеть и Надежные сайты:

Активация параметров для зон Местная интрасеть и Надежные сайты:

Und noch ein lustiges Phänomen mit Google, vielleicht hat da ja einer von euch eine Idee.

Практический совет

Gültige Einträge

Teilweise gültige Einträge

Открытое окно

Sonderfall: 2-Zeichen SLD mit 2-Zeichen TLD

Беспиле

Список сайтов Hier ein Beispiel einer gültigen

Список сайтов Im Gegensatz hierzu eine fehlerhafte

Был dieser Liste fehlerhaft ist, erklärt sich größtenteils auf Grund der vorangegangenen Erklärungen. Eine Besonderheit hat’s noch bei Eintrag 4. Dieser Eintrag ist gleich auf Grund mehrerer Fehler ungültig. Einerseits ist der Host www bereits in Eintrag 1 (Wildcard) enthalten. Андерерсейтс ист дер Eintrag для конфигурации зоны Местная интрасеть, был einen Konflikt mit der in Eintrag 1 configurierten Zone Надежные сайты darstellt.

Одна из первых проблем, с которыми мне пришлось столкнуться на новой работе, — это почему набор объектов групповой политики неправильно развертывается для нашей группы пользователей терминального сервера и наших администраторов терминального сервера.

Мы хотим, чтобы пользователи были заблокированы и имели доступ только к одному приложению и имели несколько веб-сайтов в доверенной зоне, чтобы они могли получить к ним доступ. Заблокированная часть работает нормально, однако сайты, которые мы установили в доверенной зоне, не применяются к пользователям, когда они входят в систему. Однако, когда администратор входит в систему, они получают открытый доступ и сайты, которые мы добавили в доверенную зону. .

Мне кажется, это может быть как-то связано с фильтрацией безопасности. Как установлено: NT AUTHORITY\Authenticated Users. Для меня это охватывает всех пользователей, которые аутентифицируются на машине, поэтому администраторы могут получить настройки пользователя и наоборот.

Угрозы кибербезопасности и потребность в надежном резервном копировании

2022-03-29 18:00:00 UTC Вебинар Вебинар: Spanning — угрозы кибербезопасности и потребность в надежном резервном копировании Сведения о событии Просмотреть все события

ВСЕ, я разобрался.

Это произошло из-за IE ESC. Как только я отключил его для пользователей, IE Zonemapping сразу синхронизировался.

Спасибо всем за помощь!

24 ответа

Кроме того, дайте мне знать, если вы не видите связанные объекты групповой политики. Я перенесу их в другое место.

На мой взгляд, это похоже на проблему наследования объекта групповой политики «Пользователи сервера терминалов». Вы пытались заблокировать наследование для этого объекта групповой политики?

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Я получил кучу тарабарщины при попытке открыть общие документы.

Можете ли вы опубликовать отредактированный снимок экрана консоли управления групповыми политиками, чтобы мы могли увидеть структуру и то, где применяются объекты групповой политики?

Вы не можете применить групповую политику к группе; поэтому, если объект групповой политики связан с OU, в которой есть только группы безопасности, это не удастся. Если объект групповой политики связан с OU, содержащей учетные записи пользователей членов этих групп безопасности, мы можем двигаться дальше.

К пользователям, прошедшим проверку подлинности, относятся все объекты AD, имеющие имя пользователя и пароль (включая учетные записи компьютеров, но исключая учетные записи пользователей с пустыми паролями).

Есть ли на вкладке "Делегирование" объекта групповой политики какие-либо записи со значением "настраиваемый"? (Обычно я предоставляю разрешение «Запретить: применять групповую политику» административным учетным записям пользователей на компьютере/сервере, где задействована обработка политик замыкания на себя, чтобы гарантировать, что администраторы не будут затронуты ограничительными объектами групповой политики.)

Прилагается объект групповой политики администратора сервера терминалов. Я прикреплю GPO пользователей в следующем посте. Вот что я унаследовал от GPMC:

Кев Ходжсон

Запускали ли вы мастер результатов групповой политики, чтобы убедиться, что в теории все выглядит правильно?

Находятся ли службы вашего терминального сервера на одном компьютере? Если это так, вы можете протестировать политику как локальную групповую политику, что поможет исключить влияние других групповых политик домена.

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Вот некоторые проблемы, которые нужно решить, или пункты, которые я заметил, или вопросы:

  • Предназначается ли политика администраторов сервера терминалов для отмены политики пользователей сервера терминалов для «CORP\Domain Admins»? Если вы хотите, чтобы администраторы не получили эти ограничения, я могу порекомендовать удалить политику администратора служб терминалов и добавить разрешение «Запретить: применять групповую политику» для группы безопасности «CORP\Domain Admins» в политике пользователей служб терминалов. Но я не знаю, есть ли какие-либо другие настройки в политике пользователей TS, которые вы хотите применить к администраторам.
  • Я предполагаю, что администраторы получают открытый доступ и настроенные сайты из-за порядка обработки GPO. Когда администраторы входят в систему, обрабатывается пользовательская политика учетной записи (для всего, что связано с OU, которая содержит их учетную запись пользователя), затем применяется политика пользователей TS в режиме замены (который стирает обычные настройки GPO администраторов домена), затем применяется объект групповой политики администратора TS, который в случае конфликта с объектом групповой политики пользователя TS перезаписывает любые конфликтующие настройки, которые в основном находятся в ветке User Config\Administrative Templates\Control Panel, поэтому они получают открытый доступ. Итак, то, что происходит с администраторами, является ожидаемым поведением, учитывая то, что вы предоставили - желательно ли это? Вы хотите, чтобы администраторы также получали сайты доверенной зоны?

Есть ли у объектов групповой политики TS 2012 и локальных жестких дисков какие-либо пользовательские конфигурации? Настраивает ли кто-либо из них обработку политик замыкания на себя (т. е. включает и либо объединяет, либо заменяет)? Как они фильтруются/делегируются?

Вероятно, не связано; только что заметил.

Все ли ваши пользователи, не являющиеся администраторами, содержатся в организационной единице "Заблокированные пользователи"?

В GPO TS Admin у вас есть конфигурация компьютера; на самом деле нет необходимости, поскольку сам сервер не может даже прочитать объект групповой политики (фильтрация безопасности только для администраторов домена, членами которых, вероятно, не являются ваши терминальные серверы).

У вас есть сценарий входа (для пользователей TS) MapDriveT.cmd, и у вас есть предпочтение GP для подключения диска, что случилось?

<р>1. Намерение состояло в том, чтобы отменить политику пользователей терминального сервера. Основываясь на вашем предложении, имеет смысл настроить групповую политику «запретить: применить групповую политику для администраторов корпорации\домена». Этот параметр был настроен, и спасибо за совет!

<р>2. Нас интересует только группа пользователей TS, имеющая сопоставленные сайты доверенных зон. Согласно вашему первому предложению, администраторы теперь должны иметь нормальный «открытый» интерфейс.

<р>3. Оба имеют пользовательские настройки. TS 2012 удаляет общие группы программ из меню «Пуск». На локальном жестком диске есть значок «Удалить компьютер» на рабочем столе. У обоих из них не включена политика замыкания на себя. В настоящее время они отфильтрованы авторизованными пользователями

4/5. Это было интересно. В первый раз, когда я запустил его для пользователей на терминальных серверах, я получил ошибки. После внесения пары правок на основе ваших предложений ошибок больше нет. Однако есть один красный флаг, который я заметил в разделе «Статус компонента». «Отображение зон Internet Explorer» показывает «Успех (нет данных)». Я также запустил gpresult /USER:Ryan /R (райан — пользователь) и вижу, что он успешно применяет объект групповой политики пользователей TS и фильтрует объект групповой политики администратора.

<р>6. Все аутентифицированные пользователи находятся в подразделении Locked Down Users (похоже на проблему)

<р>7. Спорный вопрос, так как я его отключил.

<р>8. Это программа учета рабочего времени и посещаемости

DanForReal -- Есть 2 службы терминалов с брокером соединений, всего 3.

DestroyerOfSammiches написал:

На мой взгляд, это похоже на проблему наследования для объекта групповой политики пользователей терминального сервера. Вы пытались заблокировать наследование для этого объекта групповой политики?

Пробовал, но не помогло. Хотя мне нравится идея блокировки наследования этой конкретной OU. Эти машины используются многими людьми, и некоторые из них используют общие учетные записи служб для доступа к размещенным для них утилитам через TS. У них должна быть определенная заблокированная среда, которая не будет похожа на их обычное использование компьютера, и объекты групповой политики, которые потребуются для нормального использования.

  • Предназначается ли политика администраторов сервера терминалов для отмены политики пользователей сервера терминалов для «CORP\Domain Admins»? Если вы хотите, чтобы администраторы не получили эти ограничения, я могу порекомендовать удалить политику администратора служб терминалов и добавить разрешение «Запретить: применять групповую политику» для группы безопасности «CORP\Domain Admins» в политике пользователей служб терминалов. Но я не знаю, есть ли какие-либо другие настройки в политике пользователей TS, которые вы хотите применить к администраторам.
  • Я предполагаю, что администраторы получают открытый доступ и настроенные сайты из-за порядка обработки GPO. Когда администраторы входят в систему, обрабатывается пользовательская политика учетной записи (для всего, что связано с OU, которая содержит их учетную запись пользователя), затем применяется политика пользователей TS в режиме замены (который стирает обычные настройки GPO администраторов домена), затем применяется объект групповой политики администратора TS, который в случае конфликта с объектом групповой политики пользователя TS перезаписывает любые конфликтующие настройки, которые в основном находятся в ветке User Config\Administrative Templates\Control Panel, поэтому они получают открытый доступ. Итак, то, что происходит с администраторами, является ожидаемым поведением, учитывая то, что вы предоставили - желательно ли это? Вы хотите, чтобы администраторы также получали сайты доверенных зон?
  • Есть ли у объектов групповой политики TS 2012 и локальных жестких дисков какие-либо пользовательские конфигурации? Настраивает ли кто-либо из них обработку политик замыкания на себя (т. е. включает и либо объединяет, либо заменяет)? Как они фильтруются/делегируются?

  • Когда в GPMC вы используете мастер результатов групповой политики для одного из пользователей, не являющихся администраторами, которые вошли в систему, есть ли какие-либо ошибки или признаки того, почему параметр не был применен к пользователю? Если вы хотите узнать, почему объект групповой политики не применяется правильно, это должно предоставить наилучшую информацию.
  • В консоли управления групповыми политиками можно ли запустить мастер моделирования групповой политики, чтобы убедиться, что результаты соответствуют модели?
  • Все ли ваши пользователи, не являющиеся администраторами, содержатся в организационной единице "Заблокированные пользователи"?

  • В объекте групповой политики администратора служб терминалов у вас есть конфигурация компьютера; на самом деле нет необходимости, поскольку сам сервер не может даже прочитать объект групповой политики (фильтрация безопасности только для администраторов домена, членами которых, вероятно, не являются ваши терминальные серверы).

  • У вас есть сценарий входа (для пользователей TS) MapDriveT.cmd и у вас есть предпочтения GP для подключения диска, что случилось?

Прилагается результат моделирования GPO. Здесь вы увидите результат Success (нет данных) для GPO Zone Mapping

Сегодня я возился с этим и заметил кое-что немного странное. Прилагается GPresult пользователя на одном из терминальных серверов.

В разделе «Сводка конфигурации пользователя» указана примененная локальная политика. Однако в сводке конфигурации компьютера он отображается как запрещенный.

Теперь я знаком с LSDOU, поэтому неважно, какая групповая политика должна иметь приоритет над локальной политикой. Есть ли шанс, что каким-то образом локальная политика испортила мой объект групповой политики?

Кроме того, мне все еще не удается найти какую-либо информацию о результате "Успешно (нет данных)" для сопоставления доверенных зон.

Что такое Zonemapping в Internet Explorer

Internet Explorer Zonemapping — это зона безопасности в браузере Internet Explorer, которая используется для установления уровня отношений к данному или иному сайту. Этот параметр позволяет управлять враждебными сайтами, которые вы хотите связать с зоной безопасности. Эти номера зон имеют временные параметры безопасности, которые применяются ко всем сайтам в зоне наблюдения.

Internet Explorer имеет 4 зоны безопасности, пронумерованные от 1 до 4, и они используют этот параметр политики для привязки сайтов к зонам.

  • (1) зона интрасети (Местная интрасеть)
  • (2) зона доверенных сайтов (Надежные узлы)
  • (3) интернет-зона (Интернет)
  • (4) зона ограниченных сайтов (Опасные сайты)

Если вы выбрали этот параметр политики, вы можете ввести список сайтов и соответствующий номер зоны. Связывание сайта с зонами безопасности, которые применяются к сайту. Для каждой записи, которую вы добавляете в список, введите информацию, это имя сайта и номер зоны. Если вы настраиваете этот список через групповые политики и реализуете ошибку в синтаксисе ее заполнения, то вы легко можете у себя в системе, в моем случае на RDS ферме встречать предупреждение:

Источник групповой политики. Код события ID 1085. В Windows не удалось применить параметр "Internet Explorer Zonemapping". Параметры "Internet Explorer Zonemapping" Имеет собственный файл журнала. Ссылка посилання "Дополнительные сведения". ( Описание: Windows не удалось применить параметры сопоставления зон Internet Explorer. Параметры сопоставления зон Internet Explorer могут иметь собственный файл журнала)

Первому делу необходимо понять, какая групповая политика изменяет проявления аллергии. Для этого вам необходимо открыть журнал событий Windows и перейти в журнал Microsoft-Windows-GroupPolicy, напоминаю, что мы уже использовали его при долгой проверке политики Microsoft Disk Quota. Открываю журнал Microsoft-Windows-GroupPolicy-Operational найдите там событие с кодом 4016.

Код события 4016. Запуск обработки расширения Internet Explorer Zonemapping. Список применимых объектов групповой политики: (Изменения обнаружены.) Имя объекта GPO

Обратите внимание, что тут же пишется в каком-то объекте групповой политики находится поиск настройки. Если вы хотите перепроверить и найти ее по GUID, выберите вкладку "Подробности". Тут вы увидите расширение GUID, имя GPO и GUID, который может быть использован для поиска.

Так же отфильтровав журнал, вы можете посетить улицу с кодом 7016:

Забыл отметить, что если посмотреть в 1085 деньгах на вкладке "Подробности" на поле ErrorDescription, то там появится ошибка вида "Недоступных данных". Это означает, что у вас неправомерные записи в данной политике.

Правильная настройка политики Internet Explorer Zonemapping

Чтобы ваши журналы не забивались ошибками с кодом 1085, необходимо правильно настроить групповую или локальную настройку Internet Explorer.Откройте подключение к управлению групповой организацией (gpmc.msc). Перейдите к изменениям той групповой политики, через которую настраиваются списки сайтов для зоны Internet Explorer. Появляется инспектор:

Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Internet Explorer - Панель управления браузером - Вкладка безопасности - Список представлений зоны для веб-ов (Административные шаблоны > Компоненты Windows > Internet Explorer > Панель управления Интернетом > Страница безопасности > Назначение сайта в зону Список)

Включаем следователя "Список исследуемых зон для веб-сайтов" и нажимаем кнопку "Показать". У вас появится окно редактора, которому нужно написать адрес сайта и номер зоны, напомню еще раз цифры по зонам:

  • (1) зона интрасети (Местная интрасеть)
  • (2) зона доверенных сайтов (Надежные узлы)
  • (3) интернет-зона (Интернет)
  • (4) зона ограниченных сайтов (Опасные сайты)

Правильные варианты синтаксиса сайтов Internet Explorer Zonemapping

Далее открывает на клиенте командную строку и вводит gpupdate /force, чтобы обновить инспектор. Если вы все сделали правильно и у вас нет ошибок в синтаксисе написания сайтов Internet Explorer Zonemapping, то вы заметили, что политики отработали корректно.

Если есть ошибки в синтаксисе, то можно увидеть вот такую ​​картину:

При рассмотрении политики пользователя вернули устойчивость: Клиентскому расширению политики «Перенаправление папок» не удалось применить один или несколько групповых параметров, поскольку эти изменения должны выполняться до запуска системы или до входа пользователя. Завершение обработки групповой политики будет выполнено перед запуском системы или входом этого пользователя, что может привести к замедлению загрузки и запуску системы. В Windows не удалось применить параметр «Отображение зон в Internet Explorer». Параметры "Internet Explorer Zonemapping" Имеет собственный файл журнала. По ссылке "Дополнительные сведения".

Так же важно, что есть проблемы, это отсутствие вашего сайта в зоне Internet Explorer. Если в списке нет каких-то сайтов, то для вас это сигнал, где искать ошибку.

Редактирование Zonemapping Internet Explorer через реестр Windows

Я вам не перестаю повторять, что групповая политика изменяет просто ключи реестра Windows на нужном объекте.

运行 gpresult /h gpreport.html ,打开这个html文件一看

Отображение зоны в Internet Explorer не удалось из-за ошибки, указанной ниже.
Данные недействительны.

Идентификатор события:7016 的错误日志

Завершение обработки расширения Zonemapping Internet Explorer за 343 миллисекунды.

我们看到这里的 ErrorCode – 13.

Описание GPSvc

Windows 7/Vista/2008, версия Widnows XP/2003, версия KB221833

  1. Имеется %windir%\debug\в пользовательском режиме 目录
  2. Перейти к HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
  3. Диагностика ключевых слов
  4. 在该键值下面创建名为GPSvcDebugLevel的DWORD键值,并将其修改为16进制的30002 (hex)
  5. Полный перевод
  6. Создать команду gpupdate /force
  7. 在 %windir%\debug\usermode 目录下面就可以找到 GPSvc.log 文件
    打开 gpsvc.log 文件,查找 ProcessGPOList: Extension Internet Explorer Zonemapping возвращен

你会发现有一行 ProcessGPOList: расширение Zonemapping Internet Explorer вернуло 0xd

0xd Код ошибки: 13 啦。

Недействительные данные

那么 配置 配置 可以 确定 的 是 在 应该 应该 存在 的 目目 中们 中 应该 应该 的 的 的 的 中了 这么这么条:

网站名称是有指定,但是没有在 Zone Value 这里赋值,也就是说系统不知道你是想把这个站点分去哪个Zone,所以出来警告信息。

将这些缺少 Zone value 的条目一一更新之后, gpupdate /force 恢复正常!

补充一下,Windows XP 的系统有可能运行 gpupdate /force 不会报错,但是在日志中会出现 Event ID: 1085 的类似错误,处理方法和 Event ID:7106 的一样。

另外,还有可能的错误是站点名字使用诸如 192.168.* 或者 *.123.* 之类 * 号使用不当,也会导致报错。

Читайте также: