"Internet Explorer の メンテナンス"廃止に伴う代替案の紹介 – Part2.基本設定でのレジストリ(セキュリティ ゾーン)配布


Internet Explorer サポートの 杉谷 です。

 

前回はメンテナンス ポリシーの廃止に伴う代替案と して『基本設定のインターネット設定』について紹介しました。

 

『インターネット設定』はインターネット オプションと類似のGUIを用いて配布項目を構成 / 配布できる非常に便利な項目ですが、セキュリティ ゾーン のURLの配布に対応していません(以下の画像のように[サイト]ボタンがグレーアウトしています)。

kihon_reg01

 

クライアント環境に対して『変更可能な状態』でセキュリティ ゾーンのURLを配布(追加も可能)する場合、基本設定の『レジストリ項目』を構成します。

 

前提1:基本設定のレジストリ対応環境

前回ご紹介した『インターネット設定』はWindows 7 / Windows Server2008 R2以前の環境からではIE10以降への配布に非対応でしたが、『レジストリ項目』はIEのバージョンを問わず配布可能です。

 

※バージョン対応表はコチラ

 

前提2:セキュリティ ゾーンのURLが登録されるレジストリ

各セキュリティ ゾーンのレジストリは以下のように登録されます。

 

場所 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
トップレベルドメイン\サブドメイン
名前 プロトコル(http / https)
種類 REG_DWORD
1(ローカル イントラネット)/ 2(信頼済みサイト)/ 3(イン ターネット)/
4(制限付きサイト

 

例えば、”http://www.microsoft.com”を”信頼済みサイト”として配布した場合は以下のようになります。

 

場所 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
microsoft.com\www
名前 http
種類 REG_DWORD
2

 

前提3:Internet Explorer セキュリテ ィ強化の構成(IE ESC)

サーバーOSには『Internet Explorer セキュリティ強化の構成(IE ESC)』と呼ばれる機能がございます。

 

この機能の状態により、登録 / 参照するセキュリティ ゾーンのレジストリが異なります(既定は”有効″です)。

 

有効:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains

無効:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

 

配布元 / 配布先の『IE ESC』の状態が異なる状態でセキュリティ ゾーンの URL を 配布すると、登録 / 参照先が異なるため値が反映されません(後述の”レジストリ項目”の設定手順4で直接値を入力すると回避できます)。

 

このため、セキュリティ ゾーンの URL をグループ ポリシーで管理する場合、配布元 / 配布先 IE ESC の 状態にご注意ください(クライアントOSにはIE ESC が存在しないため”無効″と同等です)

 

IE ESC機能についての詳細は以下でもご覧頂けます。

 

◇Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更

http://support.microsoft.com/kb/815141/ja

 

上記3つの前提を踏まえて実際の設定方法を紹介します。

 

基本設定のレジストリ項目の設定手順

実際に”http://www.microsoft.com”を信頼済みサイトに登録してみます。

 

1.配布元端末のIE上にて配布URL(http://www.microsoft.com)を信頼済みサイトとして設定します
(誤入力防止のために設定後に登録されるレジストリキーを直接指定して基本設定を構成します)

※設定ができない場合は、手順5 でレジストリ([キーのパス] / [値の名前] / [値の種類] / [値のデータ])を直接入力します(手順6/7は不要です)。

 

2.[グループ ポリシー管理エディター]を開きます。

 

3.[ユーザーの構成] > [基本設定] > [Windowsの設定] > [レジストリ] を選択します

 

4.[レジストリ]を右クリックし、[新規作成] > [レジストリ項目] を選択します。

kihon_reg02

 

5.最初に[全般タブ]が開かれます。[アクション]では既定の”更新”を、[レジストリハイブ] は”HKEY_CURRENT_USER”を選択します

kihon_reg03

 

6.[キーのパス]項目の[…]ボタンをクリックし、[レジストリ項目ブラウザー]から予め登録したドメインを選択します

kihon_reg09

 

7.画面下部に表示される [名前] / [種類] / [データ]欄の [名前]をクリック(反転します)し、[選択]ボタンを押下することで自動的に値が入力されます

kihon_reg10

kihon_reg05

※配布元端末に対して配布URLを設定しない場合は、それぞれ直接入力することも可能です。

 

8.クライアント環境に”一度だけ”適用したい場合は、[共通]タブにおいて [1度だけ適用し、再適用しない] にチェックを入れます

kihon_reg06

 

9.[OK]で設定画面を閉じると、作成した設定が登録されます(ログオン等のGPO適用のタイミングでクライアント環境に値が反映されるようになります)

kihon_reg07 

 

9.実際に配布される項目は、グループ ポリシー オブジェクト(GPO)を選択した際に右側に表示される画面の[設定]タブにて確認可能です

kihon_reg08 

 

基本設定については以下のような参考情報もございますのでぜひご覧ください。

 

◇[レジストリ] 項目を構成する

http://technet.microsoft.com/ja-jp/library/cc753092.aspx

 

◇共通オプションを構成する

http://technet.microsoft.com/ja-jp/library/cc772371.aspx

 

 

今回は基本設定の『レジストリ項目』についてご紹介しました。

part3では基本設定で”お気に入り”を配布するために使用する『ショートカット項目』について紹介したいと思います。

 
 
********** 関連リンク*************
”Internet Explorer の メンテナンス”廃止に伴う代替案の紹介 – Part1.基本設定の紹介とプロキシ設定の配布
https://blogs.technet.microsoft.com/jpieblog/2014/08/12/internet-explorer-part1-2641/
 
“Internet Explorer の メンテナンス″廃止に伴う代替案の紹介 – Part2.基本設定でのレジストリ(セキュリティ ゾーン)配布
https://blogs.technet.microsoft.com/jpieblog/2014/09/18/internet-explorer-part2/
 
“Internet Explorer の メンテナンス″廃止に伴う代替案の紹介 – Part3.基本設定でのショートカット(お気に入り)配布
https://blogs.technet.microsoft.com/jpieblog/2014/11/12/internet-explorer-part3/

 


Comments (0)

Skip to main content