Internet Explorer : les méthodes de configuration par GPO
Plusieurs méthodes existent pour configurer Internet Explorer en entreprise. L'objectif de cet article est de faire un bref rappel sur les différentes méthodes existantes ainsi que leurs mises en œuvre.
Les différentes méthodes de configuration d'Internet Explorer
Voici un récapitulatif des méthodes existantes pour configurer Internet Explorer.
Méthode |
Mode de configuration |
Commentaires |
Informations complémentaires |
Fichier Unattend.xml |
Préférences |
Configuration lors de l'installation de Windows |
|
IEAK |
Préférences |
Configuration d'IE effectuée via package MSI |
|
Modèles d'administration (GPO) |
Force les paramètres |
Configuration d'IE déployée par GPO : Environ 1500 paramètres disponibles |
|
Internet Explorer Maintenance (IEM - GPO) |
Préférences |
Configuration d'IE basée sur le moteur IEAK et déployée par GPO. IEM ne fonctionne plus et n'est plus supporté à partir d'Internet Explorer 10 et versions ultérieures quel que soit le système d'exploitation utilisé. |
|
Group Policy Preferences |
Préférences |
Configuration d'IE déployée par GPP |
Rappel : Une méthode de configuration ne couvre pas tous les paramètres d'Internet Explorer, il faut donc utiliser la combinaison de plusieurs méthodes pour couvrir l'ensemble des paramètres d'Internet Explorer.
En entreprise, les méthodes les plus utilisées sont les suivantes :
- Modèles d'administration : Permet de verrouiller les paramètres de l'utilisateur ou de l'ordinateur.
- Internet Explorer Maintenance Mode : Permet de configurer certains paramètres tels que le serveur proxy ou encore les zones de sécurités.
- Group Policy Preferences : Permet de configurer certains paramètres disponibles dans le panneau de configuration Options Internet.
Aussi en fonction de la version d'Internet Explorer utilisée, les méthodes de configuration ne sont pas les mêmes.
La question récurrente posée par les clients est : Est-ce que la GPO utilisée va encore fonctionner avec la nouvelle version d'Internet Explorer ?
La réponse classique est la suivante : Tout dépend de la méthode utilisée !
- Pour les GPP, il y a de nombreux changements à partir d'IE9 en termes d'administration des GPPs.
- Pour IEM, il est tout simplement supprimé à partir d'IE10.
Internet Explorer Maintenance Mode (IEM) : Obsolète à partir d'IE10
Ce module disponible dans les Windows Settings d'une GPO était très pratique pour personnaliser l'interface du navigateur ou pour configurer les paramètres du serveur proxy ou encore les sites spécifiés dans une zone de sécurité.
Cependant voici quelques limitations du module IEM :
- Peu de paramètres dont certains ne s'appliquent qu'à IE5 ou IE6.
- Importe les paramètres de la configuration d'IE où est éditée la GPO. Ceci peut résulter par des importations de paramètres non désirés.
- Pseudo GPO, car en fait les paramètres configurés via IEM ne sont pas écrits dans la partie Policies. Les utilisateurs peuvent alors temporairement modifier les paramètres.
Aussi avec l'utilisation des Group Policy Preferences, le module IEM est devenu obsolète et a complètement disparu à partir d'IE10.
Scénario 1 : Que faire lorsque j'utilise le module IEM pour configurer Internet Explorer par GPO ?
Le module IEM n'est plus disponible à partir de Windows 8/Windows Server 2012. Si vous souhaitez encore utiliser ce module, il faut éditer votre GPO avec une version antérieure à Windows 8/Server 2012 de la console Group Policy Management (Gpmc.msc).
 |
 |
La recommandation est de migrer les paramètres utilisés dans IEM avec une autre méthode de configuration.
Scénario 2 : J'utilise IEM pour configurer Internet Explorer par GPO et IE10 (ou version supérieure) est en cours de déploiement.
A partir d'Internet Explorer 10 (quel que soit le système d'exploitation Windows 7 ou Windows 8), les paramètres définis par IEM seront ignorés par IE10/IE11.
La recommandation est de migrer les paramètres utilisés dans IEM avec une autre méthode de configuration.
Comment migrer mes paramètres IEM ?
Vous pouvez utiliser les modèles d'administration, les Group Policy Preferences ou encore l'IEAK pour configurer Internet Explorer sans le module Internet Explorer Maintenance Mode. Cependant, tous les paramètres ne sont pas disponibles. Pour vous aider dans votre migration des paramètres, une matrice de compatibilité existe sur Technet : IEM Replacements
Important : N'oubliez pas de supprimer les paramètres IEM avec une console GPMC Windows Server 2008 R2/RSAT Windows 7 une fois qu'ils sont migrés.
Comment ajouter des sites dans une zone de sécurité ?
Avec les modèles d'administration
Vous pouvez utiliser le modèle d'administration suivant pour ajouter un site dans une zone de sécurité :
- Chemin : Configuration Utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité
Note : le paramètre est également disponible dans la partie Ordinateur et il s'appliquera pour tous les utilisateurs de la machine.
- Nom de la stratégie : Liste des attributions de sites aux zones (Site to zone assignment list)
- Puis remplir le tableau suivant en fonction du site web et de la zone :
| Nom de la zone | Valeur |
| Intranet | 1 |
| Site de confiance | 2 |
| Internet | 3 |
| Site sensible | 4 |
Attention : Veuillez bien vérifier que votre URL soit valide. Dans l'exemple ci-dessus, *.contoso n'est pas une URL valide.
Si on essaye d'ajouter *.contoso via les options d'Internet Explorer le message suivant s'affiche :
Si une URL est invalide, un message d'erreur s'affiche lors du traitement des GPOs Internet Explorer Zone Mapping : The Group Policy client-side extension Event ID 1085 : Internet Explorer Zonemapping failed to execute. Please look for any errors reported earlier by that extension
Avec les Préférences (GPP)
Avec les GPP, il n'est pas possible nativement d'ajouter des sites web dans une zone de confiance car le bouton Sites n'est pas disponible.
Il n'est pas recommandé pour des raisons de sécurité de laisser les utilisateurs ajouter un site web dans une zone de confiance.
En effet, si l'utilisateur ajoute un site malveillant dans la zone site Intranet (Sécurité Moyen Faible), l'ordinateur sera plus vulnérable.
La recommandation est donc de configurer les sites des zones de sécurité avec la stratégie Liste des attributions de sites aux zones, ainsi l'utilisateur ne peut pas modifier la liste.
Cependant, si vous souhaitez laisser l'utilisateur modifier la liste et prédéfinir des URL, vous pouvez créer directement les clés de registre nécessaires avec l'extension Registry des GPP ou utiliser l’IEAK.
Les clés sont à créer dans l'emplacement suivant : \Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
https://support.microsoft.com/kb/182569
Attention vous devez créer une clé par sous domaine !
Exemple : s’il faut ajouter le site https://*.skype.net il faut créer une clé Skype.net, puis une sous-clé *
Utiliser les Préférences
Avec les Group Policy Préférences, vous pouvez configurer de nombreux paramètres disponibles dans les options d'Internet Explorer.
Pour créer une préférence Internet Settings, il suffit de faire un clic droit puis de choisir la version d'Internet Explorer :
Puis, il suffit de configurer les différentes options souhaitées et de les activer.
- Lorsqu'un paramètre est désactivé, il sera souligné par des pointillés rouges. Le paramètre désactivé ne sera pas publié sur les postes cibles.
- Pour activer le paramètre il faut appuyer sur la touche F6, le paramètre est alors souligné en vert.
Voici un récapitulatif des actions pour activer/désactiver les éléments dans une GPP :
Activer tous les paramètres de la page sélectionnée |
F5 |
Activer le paramètre sélectionné |
F6 |
Désactiver le paramètre sélectionné |
F7 |
Désactiver tous les paramètres de la page sélectionnée |
F8 |
Matrice de configuration des GPP Internet Explorer en fonction du système d'exploitation
Comme vu ci-dessus, vous devez créer un élément Internet Settings en fonction de la version d'Internet Explorer. Cependant, en fonction de la version de GPMC utilisée, les différentes versions d'Internet Explorer ne sont pas toutes listées.
Windows Server 2008 R2 |
Windows Server 2012 |
 |
 |
Version d'Internet Explorer |
Version de Windows/RSAT |
Commentaires |
Internet Explorer 5 et 6 |
Toutes versions |
|
Internet Explorer 7 |
Toutes versions |
|
Internet Explorer 8 |
Toutes versions |
|
Internet Explorer 9 |
Windows 2008 R2 + KB 2530309 RSAT Windows 7 + KB 2530309 Windows 2012/2012 R2 RSAT Windows 8/8.1 |
Internet Explorer 8 et 9 partagent les mêmes préférences. La KB2530309 ne modifie pas l'affichage du menu Nouveau avec IE8 et IE9. (Affichage corrigé dans Windows Server 2012). Il faut installer le hotfix sur le serveur ou le poste où la GPO est créée. Avec Windows Server 2008 R2, si la GPP IE8 est créée sans le Hoftix 2530309, les paramètres IE ne s'appliquent pas à IE9. |
Internet Explorer 10 |
Windows 2012/2012 R2 RSAT Windows8/8.1 |
Il n'est pas possible de créer une GPP IE10 avec un OS antérieur à Windows Server 2012 |
Internet Explorer 11 |
Windows 2012/2012 R2 RSAT Windows8/8.1 |
Internet Explorer 10 et 11 partagent les mêmes préférences. Cependant, seul Internet Explorer 10 est affiché dans le menu Nouveau.Pour plus d'informations : KB2898604 |
En résumé, si vous avez des outils d'administration en version Windows Server 2008 R2 et une version d'Internet Explorer 10 ou 11, il faudra créer une GPO IE10/IE11 à partir d'un Windows 8/8.1 ou Windows Server 2012/ 2012 R2.
Pour éviter des désagréments, il est conseillé de toujours éditer une GPO à partir du système d'exploitation le plus récent de votre environnement.
Par exemple, votre environnement contient des serveurs Windows 2008 R2 et des clients Windows 7 et Windows 8.1. Pour créer des GPO/GPP spécifiques à Windows 8.1 ou Internet Explorer 11, vous devez utiliser les RSAT de Windows 8.1.
Le Wiki suivant permet d'accéder aux différentes version des outils d'administration à distance :