Існує не менше трьох незалежних і іноді конфліктуючих методів настройки IE з використанням групової політики, тому було б явною помилкою стверджувати, що застосовувати цю технологію просто. Але з огляду на, як важливо захистити IE в багатьох компаніях, необхідно прийняти виклик і постаратися знайти оптимальне рішення задачі. У цій статті зібрані поради та оптимальні методи навігації по лабіринту управління IE за допомогою групової політики
ARUBA INSTANT WI-FI: ПРОСТІ, ПОТУЖНІ, ДОСТУПНІ
Повинен зізнатися, що, приступаючи до цієї статті, я відчув спокусу написати: «Якщо ви хочете керувати конфігурацією браузера з групової політики, переходите на Firefox». Як може переконаний прихильник групової політики, такий як я, зробити подібну заяву? Очевидно, що настройка Internet Explorer (IE) за допомогою групової політики завжди відрізнялася зайвою складністю.
вибираємо зброю
Як уже зазначалося, існує три основні методи управління конфігурацією IE через групову політику.
- Параметри адміністративних шаблонів в розділі Computer Configuration (або User Configuration) \ Administrative Templates \ Windows Components \ Internet Explorer. Ці параметри є типові блокування, що задаються через адміністративні шаблони. Призначені таким чином параметри IE не можуть бути змінені користувачем.
- User Configuration \ Windows Settings \ Internet Explorer Maintenance. Це початковий механізм для налаштування IE через групову політику. У ранніх версіях механізму було багато помилок, а поведінка в ході налаштування було непередбачуваним. Версія Windows 7 відрізняється більшою надійністю.
- User Configuration \ Preferences \ Control Panel Settings \ Internet Settings. Метод вимірювання IE на основі переваг групової політики ліквідує прогалину двох попередніх методів, але не поширюється на деякі важливі області.
Тому в більшості випадків вирішити задачу з використанням лише одного методу не вдається. Як правило, доводиться використовувати два, а іноді і всі три методи, щоб повністю управляти поведінкою IE на настільних комп'ютерах і серверах. У статті будуть розглянуті можливості кожного методу і деякі особливості, про які потрібно пам'ятати в тому чи іншому випадку. Крім того, іноді знайомі мені фахівці застосовували інші прийоми в обхід трьох методів. Наприклад, мені доводилося бачити, як, просто складаючи сценарії для реєстру, вдавалося змінити базові значення параметрів IE (наприклад, настройки проксі), не покладаючись на ненадійну політику налаштувань IE
Політика адміністративних шаблонів
Параметри адміністративних шаблонів для IE доступні в розділах Computer Configuration і User Configuration об'єкта групової політики (GPO). Тому можна налаштувати їх для застосування до всіх користувачів цієї групи комп'ютерів (Computer Configuration) або до особливого кола цільових користувачів (User Configuration). Призначаючи політики окремих комп'ютерів і окремим користувачам, уникайте конфліктів для конкретного користувача, зареєстрованого на певному комп'ютері. У разі конфлікту зазвичай переважають налаштування окремого комп'ютера, але так відбувається не завжди, тому, якщо конфлікт неминучий, обов'язково перевірте поведінку. Я зазвичай визначаю тільки параметри адміністративних шаблонів для окремих користувачів, особливо якщо передбачається одночасно використовувати і дві інші області політики. Ці дві політики впливають тільки на окремих користувачів, і в результаті вдається більш акуратно направляти політики для IE.
Переваги адміністративних шаблонів. Налаштування адміністративних шаблонів IE, як і інших адміністративних шаблонів, призначені в першу чергу для того, щоб примусово задати поведінку користувачів IE. Як правило, користувачі не можуть мати найвищий пріоритет настройки, зроблені через адміністративні шаблони IE (прапорець затінений або відсутня відповідна вкладка). Наприклад, можна приховати вкладку Security в діалоговому вікні властивостей оглядача даної області політик, і користувач взагалі не побачить цих параметрів. Всі настройки, за допомогою яких можна відключити функції настройки IE, зазвичай знаходяться в цій області політики (екран 1).
Екран 1. Відключення функцій IE через політики адміністративних шаблонів