Internet Explorer サポートの 杉谷 です。
前回はメンテナンス ポリシーの廃止に伴う代替案と して『基本設定のインターネット設定』について紹介しました。
『インターネット設定』はインターネット オプションと類似のGUIを用いて配布項目を構成 / 配布できる非常に便利な項目ですが、セキュリティ ゾーン のURLの配布に対応していません(以下の画像のように[サイト]ボタンがグレーアウトしています)。
クライアント環境に対して『変更可能な状態』でセキュリティ ゾーンのURLを配布(追加も可能)する場合、基本設定の『レジストリ項目』を構成します。
■前提1:基本設定のレジストリ対応環境
前回ご紹介した『インターネット設定』はWindows 7 / Windows Server2008 R2以前の環境からではIE10以降への配布に非対応でしたが、『レジストリ項目』はIEのバージョンを問わず配布可能です。
※バージョン対応表はコチラ
■前提2:セキュリティ ゾーンのURLが登録されるレジストリ
各セキュリティ ゾーンのレジストリは以下のように登録されます。
| 場所 | HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ トップレベルドメイン\サブドメイン |
| 名前 | プロトコル(http / https) |
| 種類 | REG_DWORD |
| 値 | 1(ローカル イントラネット)/ 2(信頼済みサイト)/ 3(イン ターネット)/ 4(制限付きサイト |
例えば、"http://www.microsoft.com"を"信頼済みサイト"として配布した場合は以下のようになります。
| 場所 | HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ microsoft.com\www |
| 名前 | http |
| 種類 | REG_DWORD |
| 値 | 2 |
■前提3:Internet Explorer セキュリテ ィ強化の構成(IE ESC)
サーバーOSには『Internet Explorer セキュリティ強化の構成(IE ESC)』と呼ばれる機能がございます。
この機能の状態により、登録 / 参照するセキュリティ ゾーンのレジストリが異なります(既定は"有効"です)。
有効:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
無効:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
配布元 / 配布先の『IE ESC』の状態が異なる状態でセキュリティ ゾーンの URL を 配布すると、登録 / 参照先が異なるため値が反映されません(後述の"レジストリ項目"の設定手順4で直接値を入力すると回避できます)。
このため、セキュリティ ゾーンの URL をグループ ポリシーで管理する場合、配布元 / 配布先 IE ESC の 状態にご注意ください(クライアントOSにはIE ESC が存在しないため"無効"と同等です)
IE ESC機能についての詳細は以下でもご覧頂けます。
◇Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更
http://support.microsoft.com/kb/815141/ja
上記3つの前提を踏まえて実際の設定方法を紹介します。
■基本設定のレジストリ項目の設定手順
実際に"http://www.microsoft.com"を信頼済みサイトに登録してみます。
1.配布元端末のIE上にて配布URL(http://www.microsoft.com)を信頼済みサイトとして設定します
(誤入力防止のために設定後に登録されるレジストリキーを直接指定して基本設定を構成します)
※設定ができない場合は、手順5 でレジストリ([キーのパス] / [値の名前] / [値の種類] / [値のデータ])を直接入力します(手順6/7は不要です)。
2.[グループ ポリシー管理エディター]を開きます。
3.[ユーザーの構成] > [基本設定] > [Windowsの設定] > [レジストリ] を選択します
4.[レジストリ]を右クリックし、[新規作成] > [レジストリ項目] を選択します。
5.最初に[全般タブ]が開かれます。[アクション]では既定の"更新"を、[レジストリハイブ] は"HKEY_CURRENT_USER"を選択します
6.[キーのパス]項目の[…]ボタンをクリックし、[レジストリ項目ブラウザー]から予め登録したドメインを選択します
7.画面下部に表示される [名前] / [種類] / [データ]欄の [名前]をクリック(反転します)し、[選択]ボタンを押下することで自動的に値が入力されます
※配布元端末に対して配布URLを設定しない場合は、それぞれ直接入力することも可能です。
8.クライアント環境に"一度だけ"適用したい場合は、[共通]タブにおいて [1度だけ適用し、再適用しない] にチェックを入れます
9.[OK]で設定画面を閉じると、作成した設定が登録されます(ログオン等のGPO適用のタイミングでクライアント環境に値が反映されるようになります)
9.実際に配布される項目は、グループ ポリシー オブジェクト(GPO)を選択した際に右側に表示される画面の[設定]タブにて確認可能です
基本設定については以下のような参考情報もございますのでぜひご覧ください。
◇[レジストリ] 項目を構成する
http://technet.microsoft.com/ja-jp/library/cc753092.aspx
◇共通オプションを構成する
http://technet.microsoft.com/ja-jp/library/cc772371.aspx
■サーバーOS以外からの設定(リモートサーバー管理ツール)
ドメインに参加しているクライアントOS からでもリモートサーバー管理ツール(RSAT)を使うことでサーバーOS上のGPOを編集することができます。
例えば、IE10以降へのインターネット設定配布に対応していない環境(Windows Server2008 R2等)にドメイン参加しているRSATインストール済みのWindows 8以降 の環境から、
IE10以降の環境に配布可能なインターネット設定を構成するといった管理が可能です。
◇Windows Vista 用 Microsoft リモート サーバー管理ツール
http://www.microsoft.com/ja-jp/download/details.aspx?id=21090
◇Windows 7 Service Pack 1 (SP1) 用のリモート サーバー管理ツール
http://www.microsoft.com/ja-jp/download/details.aspx?id=7887
◇Windows 8 用のリモート サーバー管理ツール
http://www.microsoft.com/ja-jp/download/details.aspx?id=28972
◇Windows 8.1 用のリモート サーバー管理ツール
http://www.microsoft.com/ja-jp/download/details.aspx?id=39296
インストール後、[コントロールパネル] > [システムとセキュリティ] > [管理ツール] より [グループポリシー管理] を選択し、対象となるGPOを開きます。
※項目がない場合は、[コントロールパネル] > [プログラム] > [Windows の機能の有効化と無効化] より
[リモートサーバー管理ツール] > [機能管理ツール] > [グループポリシー管理用のツール]を有効にします。
※GPOの編集にはドメインに対する編集権限(Domain Admins等)が必要です
…
…
今回は基本設定の『レジストリ項目』についてご紹介しました。
part3では基本設定で"お気に入り"を配布するために使用する『ショートカット項目』について紹介したいと思います。