Neste caso uma GPO que configura a opção de trusted sites (Sites Confiávies ) no Internet Explorer não está sendo aplicada, na verdade a GPO é aplicada, porém o Internet Explorer não traz as configurações. Porquê isso acontece? Hoje vamos falar um pouco deste estranho comportamento e como conseguimos descobrir a causa desse problema e por fim, resolvê-lo de maneira definitiva.
Identificamos que a GPO que configura os sites confiáveis no Ineternet Explorer (TS Group policy Object) estava sendo aplicada com sucesso na máquina cliente, pois através do comando Gpresult /Z e verificando as chaves de Registro as quais as políticas devem ser aplicadas na máquina cliente estava comfiguradas conforme as imagens abaixo:
Trechos do “Output” do comando Gpresult /z (Modo verbose) que identificam que a política estava sendo aplicada:
Além do Gpresult, se abríssemos o registro do Windows na máquina cliente podiámos ver que o registro aceitou as configurações da GPO conforme a saída do Gpresult
Habilitamos o log de userenv para nos certificar se algum erro estava ocorrendo quando a GPO estava sendo aplicada. Para habilitar o log seguimos o procedimento abaixo:
Para habilitar o log de userenv:
Criar a entrada:
Entrada: UserEnvDebugLevel
Tipo: REG_DWORD
Valor: 30002 Hexadecimal
Esta entrada deve ser criada em: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Simulamos o logoff e logon e identificamos que um erro era exibido no log de uservenv ao aplicar a GPO que configura o Trusted Sites ao Internet Explorer.
O log de userenv é salvo em %Systemroot%\Debug\UserMode\Userenv.log
Neste log identificamos que a GPO exibia um erro ao ser aplicada:
O erro 0x57 Significa parâmetro inválido conforme podemos comprovar na ferramenta Err disponível para download em:
http://www.microsoft.com/en-us/download/details.aspx?id=985 - Microsoft Exchange Server Error Code Look-up
Além desses erro, no log de aplication do Event Viewer podiámos perceber que a GPO exibia erros ao ser aplicada:
Partindo desse ponto, sugerimos o plano de ação a seguir para isolar qualquer problema com a sintaxe das URLs configuradas no trusted sites.
Criar ou modificar a GPO existente para que apenas uma entrada seja adicionada aos sites confiávies. Uma entrada simples por exemplo http://www.microsoft.com
O objetivo era verificarmos se a GPO está funcionando como deveria apenas com esta entrada simples, pois na entrada que temos no ambiente atualmente temos listas duplicadas, e com problemas de sintaxe que podem acarretar em problemas como esses.
Configuramos a GPO para que apenas o site http://www.microsoft.com fosse configurado como Trusted Sites.
Após este procedimento o log de userven não registrou mais erros, porém a GPO continuava não sendo aplicada no Internet Explorer.
A partir desse ponto, passamos a verificar outros pontos que não estivessem ligados com a GPO, pois todas as evidências apontavam de que a GPO estava sendo aplicada corretamente, porém o Internet Explorer não exibia as configurações recebidas pela política.
Indentificamos que a feature Internet Enhanced Security estava habilitada no servidor em questão, e que a mesma não podia ser desabilitada, pois no adicionar e remover componentes do Windows o checkbox já encontrava desmarcado.
Imagem que indica que o Internet Enhanced Security estava habilitado no servidor e ao tentar removê-lo no Windows Components o checkbox já se encontrava desmarcado
Com isso identificamos o seguinte cenário descrito no artigo http://support.microsoft.com/kb/933991/en-us - Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
Onde o sintoma descrito é exatamente o do checkbox:
“After you configure a Microsoft Windows Server 2003-based terminal server, standard users cannot turn off the Internet Explorer Enhanced Security Configuration feature. When a standard user clicks to clear the Internet Explorer Enhanced Security Configuration check box, the check box remains clear as expected. However, Internet Explorer Enhanced Security Configuration is still enabled.”
Para isso seguimos a solução descrita no método 3 do artigo, deletando a entrada IEHarden do registro em “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap”
Após esse procedimento a política foi aplicada com sucesso e as configurações apareceram no Internet Explorer. Inclusive voltando a GPO antiga que apresentava problemas de sintaxe
Caso você queira realizar este procedimento automaticamente, sugiro que a linha abaixo seja incluída em um script de logon:
*********************************************************************************
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
*********************************************************************************
Com a linha abaixo a entrada no registro será deletada desabilitando o Enhanced Security de forma automática para os usuários através do script de logon, automatizando o processo para todos os usuários.
Artigos relacionados:
Abaixo disponibilizo uma lista de artigos que usamos para a resolução deste problema e que nos serviu de apoio em todo o processo de troubleshooting.
http://support.microsoft.com/kb/933991/en-us - Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
http://support.microsoft.com/default.aspx?scid=KB;EN-US;221833 - How to enable user environment debug logging in retail builds of Windows (221833)
http://support.microsoft.com/kb/259493 - Problemas ao adicionar domínios de nível superior à lista de Sites da zona
Nenhum comentário:
Postar um comentário