Group-Policy

為什麼 SiteToZoneAssignment GPO 應用,但網站沒有出現在 IE 中

  • September 13, 2020

我們有一個 Windows server 2012 R2 遠端桌面場,我們已應用 GPO 來控制站點到區域的分配。

直到最近這一切都很好,但就在最近,我們發現此設置不適用。

如果我打開 ESC,然後在我所在的伺服器上退出,這些站點現在會顯示在目前登錄使用者的 IE 區域列表中。然而,它似乎並不適用於所有使用者。然後,該站點列表將跟隨它們到其他伺服器,並且該使用者可以繼續前進。

我們使用使用者配置文件磁碟,因此除非使用者登錄,否則使用者系統資料庫配置單元在該伺服器上不可用,這可能解釋了為什麼它只發生在登錄的測試使用者身上。

編輯:我可以看到在 HKCU ZoneMapKey 和 HKLM ZoneMap 下創建的系統資料庫項。

根據這篇文章,IE 應該從這兩個位置讀取設置,但它們根本不會出現在 IE 控制面板的站點列表中。

是否有可能是 2012 年的更新更改了一些導致我們出現此問題的 ESC 系統資料庫設置?

我創建了一個新使用者帳戶,第一次登錄時,它也遇到了相同的問題,即即使應用了 GPO,網站也沒有在 IE 中顯示。

我在 中發現HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap,有一個名為IEHarden(記得我 2003 年的名字,有類似的 ESC 類型的問題)。看起來即使伺服器關閉了 ESC,此鍵也設置為 1。當刪除或將其設置為 0 時,站點立即出現在 Internet 控制面板中,並按預期工作。

因此,雖然我知道是什麼導致了問題,並且有足夠的能力通過在登錄時為每個使用者刪除該密鑰來偽造解決方法,但我仍然不明白為什麼該密鑰設置為 1,甚至一開始就存在(有些已經可以看到這些網站的使用者,甚至沒有那個密鑰!)。再次,我只能回到以某種方式與 IE ESC 混淆的更新。

編輯

現在有了完整的答案;

我們的 8 個會話主持人中有兩個使用 IEHarden 密鑰創建了配置文件,而其他的則沒有(這兩個是由我們的顧問設置的,儘管在詢問他們之後他們一無所知)。

似乎HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapIEHarden 密鑰下存在,因此被賦予在該伺服器上創建的所有新配置文件。

從兩者中刪除了密鑰,現在一切都恢復正常了!

引用自:https://serverfault.com/questions/788463