使用Group policy派送IE trust site時,無法在terminal server上生效

  • Article

問題徵狀

使用 Group Policy裏的IE 維護原則設定信任網站後,您發現大部份的Client都套用成功,但是Windows 2003 的terminal server沒有生效。

問題分析:

  1. 首先,先確認IE的Ehanced security configuration是否有被勾選,如果有的話,請在新增移除Windows 元件裏,將這個項目拿掉,再套用一次policy測試(預設在Windows 2003機器裏,該選項是勾選的)。
  2. 如果關閉後,仍無法生效,請檢查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1機碼是否存在,如果存在的話,請刪除之,再套用一次,

補充說明:

  1. 在Enable IE ESC時,它信任網站讀的機碼是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains 位置。
  2. 當初在建立信任網站的Policy時,假設在DC上已經將IE ESC的功能關閉,因此套用下來時的機碼會寫在KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains下。如果用戶端有Enable IE ESC,就不會生效。
  3. 因此要確認無法生效的機器上,IEESC是否有確定關閉,並且該機碼也確定被刪除;有些情況下,將該勾勾拿掉後,機碼仍沒有刪除成功,因此信任網站的設定仍沒有生效。

 

解決方法

解決方式是要將IEESC關閉後,並且確認在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1裏的機碼被刪除。

1. 下載https://www.microsoft.com/downloads/details.aspx?familyid=d41b036c-e2e1-4960-99bb-9757f7e9e31b&displaylang=en

2. 將裏面的 InetESC.adm copy至該機器。

3. 執行本機群組原則,匯入此adm

4. 點到電腦設定>系統管理範本>IE Components> Internet Explorer> IEESC,將游標定位在上面

5. 點選MMC的檢視>篩選,將裏面的選項都拿掉

clip_image002

6. 完成後您將可看到下列設定項目並且可以進一步設定。

clip_image004

7. 將以下的文字存成一個bat檔,讓登入Terminal Server的user派送自動去執行的話,確定IEESC殘留的機碼被刪除成功。

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v IEHarden /f

8. 只要上述的policy 生效,IEESC會被移除,信任網站即可以成功寫入Terminal Server上。