Administrative templates and Internet Explorer 11
Microsoft 365 apps and services will not support Internet Explorer 11 starting August 17, 2021 (Microsoft Teams will not support Internet Explorer 11 earlier, starting November 30, 2020). Learn more. Please note that Internet Explorer 11 will remain a supported browser. Internet Explorer 11 is a component of the Windows operating system and follows the Lifecycle Policy for the product on which it is installed.
Administrative Templates are made up of a hierarchy of policy categories and subcategories that define how your policy settings appear in the Local Group Policy Editor, including:
What registry locations correspond to each setting.
What value options or restrictions are associated with each setting.
The default value for many settings.
Text explanations about each setting and the supported version of Internet Explorer.
For a conceptual overview of Administrative Templates, see Managing Group Policy ADMX Files Step-by-Step Guide.
What are Administrative Templates?
Administrative Templates are XML-based, multi-language files that define the registry-based Group Policy settings in the Local Group Policy Editor. There are two types of Administrative Templates:
ADMX. A language-neutral setup file that states the number and type of policy setting, and the location by category, as it shows up in the Local Group Policy Editor.
ADML. A language-specific setup file that provides language-related information to the ADMX file. This file lets the policy setting show up in the right language in the Local Group Policy Editor. You can add new languages by adding new ADML files in the required language.
How do I store Administrative Templates?
As an admin, you can create a central store folder on your SYSVOL directory, named PolicyDefinitions. For example, %SystemRoot%\PolicyDefinitions. This folder provides a single, centralized storage location for your Administrative Templates (both ADMX and ADML) files, so they can be used by your domain-based Group Policy Objects (GPOs).
Important
Your Group Policy tools use the ADMX files in your store, ignoring any local copies. For more information about creating a central store, see Scenario 1: Editing the Local GPO Using ADMX Files.
Administrative Templates-related Group Policy settings
When you install Internet ExplorerВ 11, it updates the local administrative files, Inetres.admx and Inetres.adml, both located in the PolicyDefinitions folder.
Note
You won’t see the new policy settings if you try to view or edit your policy settings on a computer that isn’t running IE11. To fix this, you can either install IE11, or you can copy the updated Inetres.admx and Inetres.adml files from another computer to the PolicyDefinitions folder on this computer.
IE11 provides these new policy settings, which are editable in the Local Group Policy Editor, and appear in the following policy paths:
Computer Configuration\Administrative Templates\Windows Components\
User Configuration\Administrative Templates\Windows Components\
| Catalog | Description |
|---|---|
| IE | Turns standard IE configuration on and off. |
| Internet Explorer\Accelerators | Sets up and manages Accelerators. |
| Internet Explorer\Administrator Approved Controls | Turns ActiveX controls on and off. |
| Internet Explorer\Application Compatibility | Turns the Cut, Copy, or Paste operations on or off. This setting also requires that URLACTION_SCRIPT_PASTE is set to Prompt. |
| Internet Explorer\Browser Menus | Shows or hides the IE menus and menu options. |
| Internet Explorer\Corporate Settings | Turns off whether you specify the code download path for each computer. |
| Internet Explorer\Delete Browsing History | Turns the Delete Browsing History settings on and off. |
| Internet Explorer\Internet Control Panel | Turns pages on and off in the Internet Options dialog box. Also turns on and off the subcategories that manage settings on the Content, General, Security and Advanced pages. |
| Internet Explorer\Internet Settings | Sets up and manages the Advanced settings, AutoComplete, Display Settings, and URL Encoding options. |
| Internet Explorer\Persistence Behavior | Sets up and manages the file size limits for Internet security zones. |
| Internet Explorer\Privacy | Turns various privacy-related features on and off. |
| Internet Explorer\Security Features | Turns various security-related features on and off in the browser, Windows Explorer, and other applications. |
| Internet Explorer\Toolbars | Turns on and off the ability for users to edit toolbars in the browser. You can also set the default toolbar buttons here. |
| RSS Feeds | Sets up and manages RSS feeds in the browser. |
Editing Group Policy settings
Regardless which tool you’re using to edit your Group Policy settings, you’ll need to follow one of these guides for step-by-step editing instructions:
If you’re using the Group Policy Management Console (GPMC) or the Local Group Policy Editor. See Edit Administrative Template Policy Settings for step-by-step instructions about editing your Administrative Templates.
If you’re using GPMC with Advanced Group Policy Management (AGPM). See Checklist: Create, Edit, and Deploy a GPO for step-by-step instructions about how to check out a GPO from the AGPM archive, edit it, and request deployment.
Enable and disable add-ons using administrative templates and group policy
Microsoft 365 apps and services will not support Internet Explorer 11 starting August 17, 2021 (Microsoft Teams will not support Internet Explorer 11 earlier, starting November 30, 2020). Learn more. Please note that Internet Explorer 11 will remain a supported browser. Internet Explorer 11 is a component of the Windows operating system and follows the Lifecycle Policy for the product on which it is installed.
Add-ons let your employees personalize Internet Explorer. You can manage IE add-ons using Group Policy and Group Policy templates.
There are four types of add-ons:
Search Providers. Type a term and see suggestions provided by your search provider.
Accelerators. Highlight text on a web page and then click the blue Accelerator icon to email, map, search, translate, or do many other tasks.
Web Slices. Subscribe to parts of a website to get real-time information on the Favorites bar.
Toolbars. Add features (like stock tickers) to your browser.
Using the Local Group Policy Editor to manage group policy objects
You can use the Local Group Policy Editor to change how add-ons work in your organization.
To manage add-ons
In the Local Group Policy Editor, go to Computer Configuration\Administrative Templates\Windows Components\Internet Explorer .
Change any or all of these settings to match your company’s policy and requirements.
Turn off add-on performance notifications
Automatically activate newly installed add-ons
Do not allow users to enable or disable add-ons
Go into the Internet Control Panel\Advance Page folder, where you can change:
Do not allow resetting IE settings
Allow third-party browser extensions
Go into the Security Features\Add-on Management folder, where you can change:
Deny all add-ons unless specifically allowed in the Add-on List
Turn off AdobeВ Flash in IE and prevent applications from using IE technology to instantiate Flash objects
Close the Local Group Policy Editor when you’re done.
Using the CLSID and Administrative Templates to manage group policy objects
Every add-on has a Class ID (CLSID) that you use to enable and disable specific add-ons, using Group Policy and Administrative Templates.
To manage add-ons
Get the CLSID for the add-on you want to enable or disable:
Open IE, click Tools, and then click Manage Add-ons.
Double-click the add-on you want to change.
In the More Information dialog, click Copy and then click Close.
Open Notepad and paste the information for the add-on.
On the Manage Add-ons windows, click Close.
On the Internet Options dialog, click Close and then close IE.
From the copied information, select and copy just the Class ID value.
You want to copy the curly brackets as well as the CLSID: .
Open the Group Policy Management Editor and go to: Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management.
-OR-
Open the Local Group Policy Editor and go to: User Configuration\Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management.
Open the Add-on List Group Policy Object, select Enabled, and then click Show.
The Show Contents dialog appears.
In Value Name, paste the Class ID for your add-on, for example, .
In Value, enter one of the following:
0. The add-on is disabled and your employees can’t change it.
1. The add-on is enabled and your employees can’t change it.
2. The add-on is enabled and your employees can change it.
Close the Show Contents dialog.
In the Group Policy editor, go to: Computer Configuration\Administrative Templates\Windows Components\Internet Explorer.
Double-click Automatically activate/enable newly installed add-ons and select Enabled.
Enabling turns off the message prompting you to Enable or Don’t enable the add-on.
Click OK twice to close the Group Policy editor.
Управляем Internet Explorer с помощью групповой политики
Существует не менее трех независимых и иногда конфликтующих методов настройки IE с использованием групповой политики, поэтому было бы явной ошибкой утверждать, что применять эту технологию просто. Но учитывая, как важно защитить IE во многих компаниях, необходимо принять вызов и постараться найти оптимальное решение задачи. В этой статье собраны советы и оптимальные методы навигации по лабиринту управления IE с помощью групповой политики
Должен признаться, что, приступая к этой статье, я испытал соблазн написать: «Если вы хотите управлять конфигурацией браузера из групповой политики, переходите на Firefox». Как может убежденный сторонник групповой политики, такой как я, сделать подобное заявление? Очевидно, что настройка Internet Explorer (IE) с помощью групповой политики всегда отличалась излишней сложностью. .
Выбираем оружие
Как уже отмечалось, существует три основных метода управления конфигурацией IE через групповую политику.
- Параметры административных шаблонов в разделе Computer Configuration (или User Configuration)\Administrative Templates\Windows Components\Internet Explorer. Эти параметры представляют собой типовые блокировки, задаваемые через административные шаблоны. Назначенные таким образом параметры IE не могут быть изменены пользователем.
- User Configuration\Windows Settings\Internet Explorer Maintenance. Это изначальный механизм для настройки IE через групповую политику. В ранних версиях механизма было много ошибок, а поведение в ходе настройки было непредсказуемым. Версия Windows 7 отличается большей надежностью.
- User Configuration\Preferences\Control Panel Settings\Internet Settings.Метод настройки IE на основе предпочтений групповой политики ликвидирует пробел двух предшествующих методов, но не распространяется на некоторые важные области.
Поэтому в большинстве случаев решить задачу с использованием лишь одного метода не удается. Как правило, приходится использовать два, а иногда и все три метода, чтобы полностью управлять поведением IE на настольных компьютерах и серверах. В статье будут рассмотрены возможности каждого метода и некоторые особенности, о которых нужно помнить в том или ином случае. Кроме того, иногда знакомые мне специалисты применяли иные приемы в обход трех методов. Например, мне приходилось видеть, как, просто составляя сценарии для реестра, удавалось изменить базовые значения параметров IE (например, настройки прокси), не полагаясь на ненадежную политику настроек IE
Политика административных шаблонов
Параметры административных шаблонов для IE доступны в разделах Computer Configuration и User Configuration объекта групповой политики (GPO). Поэтому можно настроить их для применения ко всем пользователям данной группы компьютеров (Computer Configuration) или к особому кругу целевых пользователей (User Configuration). Назначая политики отдельным компьютерам и отдельным пользователям, избегайте конфликтов для конкретного пользователя, зарегистрированного на определенном компьютере. В случае конфликта обычно преобладают настройки отдельного компьютера, но так происходит не всегда, поэтому, если конфликт неизбежен, обязательно проверьте поведение. Я обычно определяю только параметры административных шаблонов для отдельных пользователей, особенно если предполагается одновременно использовать и две другие области политики. Эти две политики воздействуют только на отдельных пользователей, и в результате удается более аккуратно направлять политики для IE.
При переходе к новой версии IE на обновляемом компьютере обычно устанавливается новый файл шаблона ADM или ADMX. Уверен, что следующая версия IE 9 ничем не будет отличаться в этом отношении. Если установка выполняется на Windows XP или Windows Server 2003, обновленный файл со всеми необходимыми настройками и именем inetres.adm сохраняется в папке C:\Windows\inf на компьютере, для которого выполняется обновление IE. Вручную скопируйте файл inetres.adm в доменный объект GPO, если требуется выполнить запуск с новыми параметрами. Известно, что в Windows Vista, Windows 7, Windows Server 2008 и Server 2008 R2 используется новый формат файла шаблона ADMX. Поэтому при установке новой версии IE обновленный файл inetres.admx сохраняется в папке C:\Windows\policydefinitions на обновленном компьютере Windows. Если в домене Active Directory (AD) размещено центральное хранилище ADMX Central Store, необходимо вручную скопировать в него файл inetres.adm, перезаписав существующую версию файла.
Преимущества административных шаблонов. Настройки административных шаблонов IE, как и других административных шаблонов, предназначены в первую очередь для того, чтобы принудительно задать поведение пользователей IE. Как правило, пользователи не могут переопределить настройки, сделанные через административные шаблоны IE (флажок затенен или отсутствует соответствующая вкладка). Например, можно скрыть вкладку Security в диалоговом окне свойств обозревателя данной области политик, и пользователь вообще не увидит этих параметров. Все настройки, с помощью которых можно отключить функции настройки IE, обычно находятся в этой области политики (экран 1).
.jpg) |
| Экран 1. Отключение функций IE через политики административных шаблонов |
Как правило, лучше всего использовать административные шаблоны для настройки определенного параметра и удаления этого параметра из меню, чтобы лишить пользователя доступа к нему. В таблице 1 приведен список типовых задач, которые можно выполнить в данной области политики, и указано, как получить доступ к этим параметрам.
| Таблица 1. Типовые задачи административных шаблонов |
.jpg) |
Недостатки административных шаблонов. Самый крупный недостаток административных шаблонов IE заключается в невозможности их использования для настройки многих аспектов поведения IE. Среди элементов, которые нельзя настроить, — домашняя страница и диалоговое окно свойств обозревателя (в меню Tools). Кроме того, от административных шаблонов IE мало проку, если нужно настроить параметр, предоставив пользователю возможность изменить его, так как заданные с их помощью значения не могут быть пересмотрены пользователями.
Политики настройки IE
Как я уже говорил, мое отношение к этой области политик неоднозначно. В старых версиях политик настройки IE содержалось очень много ошибок, приводивших к массе неудобств. Тем не менее механизм обеспечивал единственный метод на основе политик для настройки таких параметров, как адреса прокси, пока не появились параметры обозревателя в предпочтениях групповой политики. Кроме того, это по-прежнему единственный способ назначить сайты зонам, который не мешает пользователям добавлять собственные сайты в зоны по мере необходимости.
Однако в политиках настройки IE сохранились досадные изъяны. Если в ходе первоначального определения политики настройки IE нужно назначить, например, параметры безопасности, следует открыть интерфейс редактора групповой политики (GPE) и найти диалоговое окно, похожее на показанное на экране 2.
.jpg) |
| Экран 2. Импорт параметров безопасности IE политики настройки IE |
Очень важно освоить этот на первый взгляд простой интерфейс. Если нужно импортировать настройки в политику, все без исключения текущие параметры безопасности обозревателя с компьютера, на котором выполняется редактирование GPO, импортируются в инструмент IE Maintenance. Если перейти к другому компьютеру с другой версией Windows, эти параметры IE будут импортированы в политику. Если на втором компьютере установлена иная версия IE, можно увидеть и другие параметры. Это может привести ко множеству непредвиденных последствий. Поэтому настоятельно рекомендуется всегда создавать и редактировать политику настройки IE на том же компьютере или по крайней мере в той же версии Windows и IE. В большинстве случаев параметры из новых версий Windows (например, Windows 7 и IE 8) совместимы сверху вниз (то есть зона надежных сайтов, назначенная из политики настройки IE в Windows 7 и IE 8, будет действовать на компьютере с XP SP3 и IE 7), но всегда полезно протестировать любые параметры.
Преимущества политики настройки IE. В целом я рекомендую использовать этот инструмент для управления настройками, недоступными для других методов. Политики настройки IE в действительности не политики, поскольку не мешают пользователям изменять заданные администратором параметры. Чтобы запретить пользователю изменять эти параметры, применяйте ограничения, о которых шла речь в разделе по административным шаблонам. Например, если политики настройки IE используются для настройки прокси, необходимо включить политику User Configuration\Administrative Templates\Windows Components\Internet Explorer\Disable Changing Proxy Settings. Политику настройки IE можно рассматривать как способ назначения предпочтений, которые пользователь может изменить, если это не запрещено. Однако эти предпочтения принудительно применяются при всяком обновлении групповой политики, если явно не использовать политики настройки IE в режиме предпочтений, которые можно включить, щелкнув правой кнопкой мыши узел Internet Explorer Maintenance в редакторе GPE и выбрав соответствующий вариант. Если режим предпочтений включен, предпочтения политики настройки IE применяются к пользователю один раз, и никогда более.
В таблице 2 приведены области, для управления которыми обычно применятся политики настройки IE.
| Таблица 2. Типовые задачи настройки IE |
.jpg) |
Недостатки политик настройки IE. Уже отмечалось, что политики настройки IE — неудачный выбор для многих конфигураций IE, так как настройки будут применяться безусловно, только если отключить соответствующие элементы пользовательского интерфейса с применением административных шаблонов. Если часть параметров IE нужно задать из политик настройки IE (например, конфиденциальность), помните, что поведение этой политики не всегда надежно. Если выясняется, что пользователи не получают необходимых настроек, попробуйте выполнить команду Gpupdate/force на клиентской рабочей станции каждого пользователя, столкнувшегося с проблемами. Таким образом иногда удается добиться от политики настройки IE желаемого результата. Кроме того, политики настройки IE автоматически ведут журнал диагностики в файле brndlog.txt в %userprofile\Appdata\local\Microsoft\Internet Explorer (Windows 7) или %userprofile%\application data\Microsoft\Internet Explorer (в XP), как показано на экране 3.
.jpg) |
| Экран 3. Просмотр журнала политики настройки IE в файле brndlog.txt |
Параметры обозревателя в предпочтениях групповой политики
Предпочтения групповой политики — сравнительно новый компонент групповой политики, появившийся в версии Server 2008. Чтобы задействовать этот компонент, необязательно иметь Server 2008: любой клиент с операционной системой XP или более новой может обрабатывать предпочтения групповой политики с использованием расширений Group Policy Preferences Client Side Extensions. Однако необходим по крайней мере один компьютер Server 2008, Server 2008 R2, Windows 7 или Vista, чтобы управлять предпочтениями групповой политики. Компьютеры XP или Windows Server 2003 для этого не годятся. В новейшей реализации предпочтений групповой политики в составе Windows 7 и Server 2008 R2 обеспечивается настройка IE 5, IE 6, IE 7 и IE 8. Полагаю, что, выпуская IE 9, компания Microsoft обновит предпочтения групповой политики для совместимости и с этой версией (хотя потребителям, возможно, придется дождаться выпуска новой версии операционной системы).
Впечатление от параметров обозревателя (Internet Settings) необычное. Как видно из названия, многие из этих параметров, в сущности, предпочтения, которые задают, но не применяют в обязательном порядке настройки IE, как и политики настройки IE. С другой стороны, область параметров обозревателя предпочтений групповой политики обеспечивает некоторые возможности, которых нет в политиках настройки IE, в частности назначение на уровне элемента (Item-Level Targeting), типичное для всех предпочтений групповой политики, с помощью которой можно назначать предпочтения по очень точным критериям (например, по версии операционной системы или категории ноутбук — настольный компьютер). Кроме того, обеспечиваются некоторые возможности управления IE, отсутствующие в упомянутых выше областях политики. Некоторые из этих областей показаны в таблице 3.
| Таблица 3. Типовые задачи. Параметры обозревателя в предпочтениях групповой политики |
.jpg) |
Преимущества параметров обозревателя в предпочтениях групповой политики. Возможность выбирать целевые объекты на уровне элементов — значительное преимущество при использовании параметров обозревателя в предпочтениях групповой политики, если администратору требуется высокая степень точности при выборе целевых настроек IE. Параметры обозревателя в предпочтениях групповой политики также обеспечивают гораздо более удобный пользовательский интерфейс в редакторе GPE, буквально воспроизводя вкладки настроек для каждой совместимой версии IE. В едином пользовательском интерфейсе явно поддерживаются различные параметры конфигурации IE для последних четырех крупных версий IE; в двух других областях политики добиться этого трудно. Наконец, как показано в приведенной выше таблице, это единственная область политики, в которой можно настроить все параметры на вкладке Advanced в диалоговом окне свойств обозревателя.
Недостатки параметров обозревателя в предпочтениях групповой политики. Подобно политикам настройки IE, параметры обозревателя в предпочтениях групповой политики задают, но не применяют настройки IE принудительно. По-прежнему необходимо задействовать административные шаблоны для блокирования областей пользовательского интерфейса, настроенных через предпочтения групповой политики. Кроме того, отмечаются досадные несогласованности между поддерживаемыми настройками. Например, на вкладке Security можно указать уровни зон (высокий, умеренно высокий), но нельзя задать распределение сайтов по зонам на этой же странице — по необъяснимой причине они недоступны (затенены). То же самое относится к вкладке Privacy, где можно настроить всплывающие окна: разрешены настройки для управления списками, но не для обработки cookie. Можно только предположить, что такой подход избран, чтобы не усложнять и без того запутанную настройку IE в двух других областях.
Укрощение IE
Картина политик для настройки IE далеко не ясна. Например, Microsoft, к сожалению, не использует предпочтения групповой политики как платформу, чтобы обеспечить доступ ко всем параметрам настройки IE и прояснить их реализацию. Поэтому необходимо осторожно комбинировать три различные области политики. Если же возможности этих трех областей не удовлетворяют требованиям, можно применить для настройки IE сценарии для реестра или пакет IE Administration Kit (IEAK).
Даррен Мар-Элиа (darren@sdmsoftware.com) — внештатный редактор Windows IT Pro, главный инженер и основатель компании SDM Software. Ведет сайт, посвященный проблемам групповых политик (www.gpoguy.com) и является соавтором книги Microsoft Windows Group Policy Guide
Поделитесь материалом с коллегами и друзьями