背景
Internet Explorer Maintenance (IEM) 從Internet Explorer 10以後就已取消。安裝Internet Explorer 10的客戶端不能從域控制器的組策略中取得IEM策略。
詳細信息可以參考以下文檔:
http://technet.microsoft.com/en-us/library/jj890998.aspx
當在Windows 2008 R2域控制上將Internet Explorer 升級到10+以, IEM 從GPO 的編輯窗口消失,見下圖
Windows 2008 R2 DC上升級到IE10以前 | Windows 2008 R2 DC上升級到IE10後 |
| |
這裏主要介紹,如何將Windows 2012 域控制器和windows 2008 R2域控制器上的IEMP遷移到GPP中。
Windows 2012 DC:
將IEM的設置遷移到“Preferences -> Windows Settings -> Registry” 或 “Preferences -> Control Panel Settings -> Internet Settings”
詳細內容可以查看以下官方文檔:
How to configure Group Policy Preference settings for Internet Explorer 11 in Windows 8.1 or Windows Server 2012 R2: http://support.microsoft.com/kb/2898604
在本文的結尾,附錄了詳細的步驟供參考。
Windows 2008 R2 DC:
在Windows 2008 R2 域控制器上,在“Preferences -> Control Panel Settings -> Internet Settings” 中沒有 “IE10/IE11” 選項。這是目前的界面設計。
IT管理員可以使用 “Preferences -> Windows Settings -> Registry” 或logon scripts 來發布IE組策略。
詳細步驟在本文的詳細步驟章節。
IT管理員可以使用 “Preferences -> Windows Settings -> Registry” 或logon scripts 來發布IE組策略 | 在Windows 2008 R2 域控制器上,在“Preferences -> Control Panel Settings -> Internet Settings” 中沒有 “IE10/IE11” 選項 |
| |
詳細步驟
已 “Internet Properties -> LAN Settings” 爲例,演示如何通過以下三種方式進行設置:
這個演示中, “LAN Settings” 如下圖
1) 打勾 “Automatically detect settings”.
2) 啓用 “Proxy Server” 並設置爲 “ProxyServer:8080”.
3) 選擇“Bypass proxy server for local addresses”.
方法 1: 使用 “Preferences -> Windows Settings -> Registry”
條件: 這個方法可用戶Windows 2008 R2 DC 和 Windows 2012 DC,可以發佈到Windows 7以上操作系統的 IE8, IE9, IE10+。對於Windows XP客戶端,GPP可以在安裝“Group Policy Preference Client Side Extensions for Windows XP (KB943729)” http://www.microsoft.com/en-us/download/details.aspx?id=3628 後使用。
1) 在DC上的IE中配置“Internet Properties -> LAN Settings”:
如果需要“Exceptions”,配置如下:
2) 在GPO編輯窗口中選擇新建“Registry Item”。
3) 點擊下圖中的 “…” 按鈕,並選擇以下路徑 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections”,選擇 “DefaultConnectionSettings” 並點擊 “Select”按鈕。
4) 點擊“OK” 確認這設置。
5) 使用步驟3~4相同的方式,新建“Registry Item”。
輸入 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings” 並選擇 “ProxyEnable” 和點擊 “Select” 按鈕。
6) 輸入“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings” 並選擇 “ProxyServer” 和點擊“Select”按鈕。
7) 如果選擇了 “Bypass proxy server for local addresses” 或設置了 “Exceptions”,需要設置“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings” 並選擇 “ProvideOverride” 和點擊“Select”按鈕。
注意:如果打勾了 “Bypass proxy server for local addresses”, “ProvideOverride” 將在結尾包含 “<local>”,例如 “LocalServer;LocalServer1;<local>”.
8) 整個設置完成後,如下圖:
9) 在test OU 中發佈這個GPO,這客戶端運行“gpupdate /force”,客戶將立即獲得這些設置。
10) 這個方式適用於IE8, IE9, IE10 和IE11客戶端。
方式 2: 使用 “Preferences -> Control Panel Settings -> Internet Settings”
條件: 這個方式可用於Windows 2008 R2 DC 和Windows 2012 DC,Wndows 2008 R2 DC可以發佈給IE5-IE9客戶端;Windows 2012 DC 可以發佈給IE5-IE11 客戶端。對於Windows XP客戶端,GPP可以在安裝“Group Policy Preference Client Side Extensions for Windows XP (KB943729)” http://www.microsoft.com/en-us/download/details.aspx?id=3628 後使用。
1) 根據DC 版本選擇:
Windows 2008 R2 DC | Windows 2012 DC |
在windows 2008 R2 DC 上,安裝 http://support.microsoft.com/kb/2530309, 這樣下圖中的“Internet Explorer 8” 選項將發佈給IE8 和 IE9 客戶端。 | 在windows 2012 DC上,安裝http://support.microsoft.com/kb/2898604 這樣下圖中的“Internet Explorer 10” 選項將發佈給IE10 和 IE11 客戶端 |
| |
2) 使用Windows 2012 DC上 “Internet Explorer 10” 演示例子: 點擊New Internet Explorer 10 Properties 窗口上的“LAN settings“ 按鈕,彈出下圖 Local Area Network(LAN) setting 窗口。當前相關設置項下有紅色虛線。
3) 完成設置後,按F5 (或 F6) 確認輸入,紅色虛線將變爲綠色實線,如下圖。
注意:紅色虛線的內容將被忽略,只有在按F5後,相關設置纔會開啓,紅色虛線將變爲綠色實線,設置纔會通過GPP發佈給用戶端。相關功能鍵開啓/禁用設置說明如下:
功能鍵:
F5 – 開啓當前頁面上所有設置。
F6 – 開啓當前選中的設置。
F7 – 禁用當前選中的設置。
F8 –禁用當前頁面上所有設置。
4) 如上圖完成配置後,按 “OK” 按鈕。
5) 在test OU 中發佈這個GPO,這客戶端運行“gpupdate /force”,客戶將立即獲得這些設置。
注意:類似的步驟可以用戶Windows 2008 R2 DC向IE8或更低版本IE客戶端發佈IE配置。
方式3: 使用 “Logon Script”
條件:這個方式可用於Windows 2008 R2 DC 和 windows 2012 DC向IE6+ 客戶端發佈配置。備註,完成IE8+版本的本地測試。
以下1到4步可以在任何一臺IE機器上完成,這裏我們簡單的已DC爲例
1) 在DC 上完成“Internet Properties -> LAN Settings” 配置:
2) 用“regedit”命令在DC上打開註冊表編輯器,
3) 導出下面的值到“registry.reg”
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="proxyserver:8080"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"DefaultConnectionSettings"=hex:46,00,00,00,5e,01,00,00,0b,00,00,00,10,00,00,\
00,70,72,6f,78,79,73,65,72,76,65,72,3a,38,30,38,30,13,00,00,00,3c,2d,6c,6f,\
6f,70,62,61,63,6b,3e,3b,3c,6c,6f,63,61,6c,3e,00,00,00,00,01,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,\
00,02,00,00,00,0a,ac,12,24,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00
4) 創建批處理文件“Test.bat”,內容如下:
reg import registry.reg
5) 複製“registry.reg” 和 “Test.bat” 到DC policy sysvol路徑(類似:“sysvol/domain/Policies/GPOUniqueID/User/Scripts/Logon),並設置“Test.bat” 爲 logon script.
6) 在test OU 中發佈這個GPO,IE客戶端重登錄系統後將獲得這些設置。