Internet Explorer サポートの 杉谷 です。
既にご存知の方も多いかと存じますが、グループ ポリシーの『Internet Explorerのメンテナンス』(メンテナンス ポリシー)がIE10以降の環境で廃止されております。
そのため、IE10以降がインストールされている環境では、グループ ポリシー/ローカル グループ ポリシー においてメンテナンス ポリシー項目が削除され構成できません。
また、メンテナンス ポリシーが配布された場合も値が反映されません。
本ブログでは、いくつか存在するメンテナンス ポリシーの代替案の中で”グループ ポリシー”という観点から、管理が最も容易な『基本設定』についてご紹介します。
■基本設定の種類(IE関連)
IE関連の設定を構成する主な基本設定項目は以下の3種類です。
・インターネット設定 --- メンテナンスポリシーの代替項目(インターネットオプションと類似のGUIから構成)
・レジストリ --- インターネットオプションの設定に対応するレジストリ値を配布します
・ショートカット --- IEの観点では”お気に入り”を構成する項目です
これらの項目は、配布元 / 配布先のOSやIEのバージョンによって配布可否が異なります(以下の表をご覧ください)。
■配布元/配布先OSとIEバージョンによる 配布可否
Windows Server 2003 R2
| インターネット設定 | 非対応 |
| レジストリ | 非対応 |
| ショートカット | 非対応 |
| メンテナンス ポリシー | IE9までの環境に配布可能 |
Windows Server 2008 R2(IE10以降インストールなし)
Windows 7(IE10以降インストールなし)
| インターネット設定 | IE9までの環境に配布可能 |
| レジストリ | IE10以降の環境にも配布可能 |
| ショートカット | IE10以降の環境にも配布可能 |
| メンテナンス ポリシー | IE9までの環境に配布可能 |
Windows Server 2008 R2(IE10以降インストール済み)
Windows 7(IE10以降インストール済み)
| インターネット設定 | IE9までの環境に配布可能 |
| レジストリ | IE10以降の環境にも配布可能 |
| ショートカット | IE10以降の環境にも配布可能 |
| メンテナンス ポリシー | 非対応 |
Windows Server 2012 / Windows Server 2012 R2
Windows 8 / Windows 8.1
| インターネット設定 | IE10以降の環境にも配布可能 |
| レジストリ | IE10以降の環境にも配布可能 |
| ショートカット | IE10以降の環境にも配布可能 |
| メンテナンスポリシー | 非対応 |
※Windows VISTA / 7 / 8 / 8.1 等のクライアント OS からの GPO編集は、リモートサーバー管理ツール (RSAT) を使用することで実現可能です(後述します)
メンテナンス ポリシーの主な代替方法となる”インターネット設定”をIE10以降に配布する場合、表の通り Windows Server 2012 / Windows 8 以降の環境が必要です。
環境がご用意できない場合は、IE の全バージョンに対応した”レジストリ配布”も可能ですが、配布項目のレジストリを把握する必要があります。
また、プロキシサーバーのレジストリについては、非公開のバイナリ値が含まれており、長期的な観点からフォーマット変更の恐れもあるためレジストリでの管理はお勧めしていません。
上記のように基本設定の”レジストリの配布”については若干面倒な部分もあり、管理の容易さという観点から”インターネット設定”が可能な環境をご用意頂くこ とをお勧めしています(これを機に対応機種のご用意を検討頂けますと幸いです)。
では、実際に基本設定でのインターネット設定手順を見ていきましょう。
ここでは IE10以降のクライアントに対して プロキシ設定のアドレス / ポート / 例外設定等を構成してみます。
■基本設定のインターネット設定の前提: 各項目の緑/赤線について
各設定項目の『緑/赤線』は、その時点での配布可否を表しており、『緑は配布可』/『赤は配布不可』となっております。
配布可否の状態は、以下のようにファンクションキーで切り替えることができます。
・画面上の全項目を有効(全て緑)にする:F5
・画面上の全項目を無効(全て赤)にする:F8
・選択中の項目を有効にする(項目のみ緑):項目選択中にF6
・選択中の項目を無効にする(項目のみ赤):項目選択中にF7
タブ操作等で開いた際に配布可(緑)で表示されている項目は、"OK"で閉じた時点で配布対象となってしまいます。
そのため、特に配布する必要のない画面を開いた場合は、『キャンセル後再度編集する』か『F8で配布不可にする』ことをお勧めします。
■基本設定のインターネット設定の手順
1.[グループ ポリシー管理エディター]を開きます。
2.[ユーザーの構成] > [基本設定] > [コントロール パネルの設定] > [インターネット設定] を選択します。
3.[インターネット設定]を右クリックし、[新規作成] > [Internet Explorer XX] (配布先のバージョン) を選択します。
(IE11項目がありませんが、IE10項目を構成することでIE11への配布が可能です)
4-1.最初に[全般タブ]が開かれるので、各項目にある点線を”未配布”に構成します
4-2.続けて[接続]タブを開き、”プロキシ サーバーを構成する…”を選択し”未配布”に構成します
4-3.[LANの設定]項目から、要件に応じた設定を構成します
※参考:例外設定を追加したい場合は[詳細設定]から登録できます。
※参考:[自動構成スクリプトを使用する]を構成する場合はアドレス欄を構成するのみで自動でチェックが入ります
4-4.必要に応じて[詳細設定]から例外設定を登録します
※参考:[すべてのプロトコルに同じプロキシ サーバーを使用する] のチェックは非対応です。
(基本設定では[使用するプロキシのアドレス]に表示されている内容を配布します)
5.クライアント環境に"一度だけ"適用したい場合は、[共通]タブにおいて [1度だけ適用し、再適用しない] にチェックを入れます
6.[OK]で設定画面を閉じると作成した設定が追加されます(ログオン等のGPO適用のタイミングでクライアント環境に値が反映されます)
7.実際に配布される項目は、グループ ポリシー オブジェクト(GPO)を選択した際に右側に表示される画面の[設定]タブにて確認可能です
基本設定については以下のような参考情報もございますのでぜひご覧ください。
◇基本設定項目の設定を有効または無効にする
http://technet.microsoft.com/ja- jp/library/cc754299.aspx
◇共通オプションを構成する
http://technet.microsoft.com/ja- jp/library/cc772371.aspx
■プロキシ設定の構成時における注意点
インターネット設定において『プロキシ項目の構成時に項目がグレーアウトとなり設定が反映されない』という問題が発生する場合があります。
この場合、以下の修正を適用頂くことで問題が解消されます。
◇Internet Explorer 10 プロキシを設定するグループ ポリシー オブジェクトが壊れています
http://support.microsoft.com/kb/2928422
※Windows Server 2012 R2 / Windows 8.1 の場合は、以下の更新プログラムをインストールしてください。
◇Windows RT 8.1、8.1 の Windows、および Windows Server 2012 の R2 の更新プログラム: 2014 年 4 月
http://support.microsoft.com/kb/2919355
■サーバーOS以外からの設定(リモートサ ーバー管理ツール)
ドメインに参加しているクライアントOS からでもリモートサーバー管理ツール(RSAT)を使うことでサーバーOS上のGPOを編集することができます。
例えば、IE10以降へのインターネット設定配布に対応していない環境(Windows Server2008 R2等)にドメイン参加しているRSATインストール済みのWindows 8以降の環境から、
IE10以降の環境に配布可能なインターネット設定を構成するといった管理が可能です。
◇Windows Vista 用 Microsoft リモート サーバー管理ツール
http://www.microsoft.com/ja- jp/download/details.aspx?id=21090
◇Windows 7 Service Pack 1 (SP1) 用のリモート サーバー管理ツール
http://www.microsoft.com/ja- jp/download/details.aspx?id=7887
◇Windows 8 用のリモート サーバー管理ツール
http://www.microsoft.com/ja- jp/download/details.aspx?id=28972
◇Windows 8.1 用のリモート サーバー管理ツール
http://www.microsoft.com/ja- jp/download/details.aspx?id=39296
インストール後 [コントロールパネル] > [システムとセキュリティ]> [管理ツール]より[グループポリシー管理]を選択し、対象となるGPOを開き編集します。
※項目がない場合は、[コントロールパネル] > [プログラム] > [Windows の機能の有効化と無効化] より
[リモートサーバー管理ツール] > [機能管理ツール] > [グループポリシー管理用のツール]を有効にします。
※GPOの編集にはドメインに対する編集権限(Domain Admins等)が必要です
■Windows Server 2008/Windows 7 環境か らIE9 への基本設定配布について
Windows Server 2008 R2 や RSATを使用したWindows 7 から基本設定をIE9のクライアントに対して配布する場合は下記の修正プログラムを適用する必要がございます。
◇Internet Explorer Group Policy Preferences do not apply to Internet Explorer 9 in a Windows Server 2008 R2 domain environment
http://support.microsoft.com/kb/2530309
※RSATで構成する場合は、Windows 7環境に適用してください
※適用後も新規作成時はIE8までしか選択できませんが、IE8項目から構成することでIE9へも配布可能となります。
…
…
いかがでしたでしょうか。
今回は基本設定の『対応環境』と『インターネット設定』についてご紹介しました。
ちなみに、各セキュリティゾーンのURLについては、インターネット設定から構成することができず、
クライアント環境にて変更可能な状態で配布する場合『レジストリ項目』を構成する必要があります…。
次回は基本設定での『レジストリ項目』について紹介したいと思います。
2530309