none
组策略禁用IE RRS feed

答案

  • 你好,小鱼!

    不需要开启强制匹配的。如果你的GPO中将Application Identity配置成为了如下所示的情况,并且在Applocker里创建了正确的文件夹路径规则将包含IE的文件夹都放在了里面的话。正常情况下你到成员机上用普通域用户登录并运行命令gpupdate /force以应用最新策略配置并得到应用成功的信息的话,是一切正常运行的。

    除非你配置这条组策略的GPO没有被链接到你用域用户所登陆的这台成员计算机所在的组织单位中。你可以去组策略管理控制台看看这条GPO是否已经被链接到上述组织单位。。

    也可以在该成员计算机上通过管理员身份运行命令gpresult /h c:\gpresult1.html然后在C盘中你会发现一个叫gpresult1的html类型文件,你可以打开它并在其中访问已经被应用到这台计算机上的组策略配置以及已经链接到这台计算机所在的组织单位中的GPO。


    此致,
    查尔斯

    如果我的回答能给您提供帮助,请记得标记为答案。
    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年4月28日 7:16

全部回复

  • 你好,小鱼。

    感谢你在我们的TechNet论坛中发帖。

    我们是可以通过以管理员身份在域内的域控制器中配置组策略来禁用用户使用IE浏览器并且在用户打开IE时弹出警告提示窗提示用户IE已禁用了的,方法如下:

    1.计算机配置->策略->Windows设置->安全设置->系统服务  然后在右窗格中找到Application Identity,双击它在属性窗口中启用这个设置并将其设为自动。
    2.计算机配置->策略->Windows设置->安全设置->软件控制策略->Applocker  右击可执行规则,选择创建默认规则,然后再次右击可执行规则,选择创建新规则,点击下一步,选择拒绝,点击下一步,选择路径,点击下一步,点击浏览文件夹,将包含IE的文件夹选择后点击创建。

    提示:正常情况下应有两个文件夹包含IE浏览器,例如在我的环境中我的IE浏览器目录名为internet explorer的文件夹有两个分别被放在了C:\Program Files\internet explorer和‪C:\Program Files (x86)\Internet Explorer中。所以我需要创建两次新规则并分别将这两个包含IE浏览器的文件夹路径添加到规则中,否则无法生效。



    如上所述操作部署完组策略之后,再去域内客户端计算机上以普通域用户账户登录并运行命令提示符gpupdate /force以应用最新的组策略配置,待应用成功后稍等几分钟再去打开IE,应该就能达到你想要的效果啦!


    如果我的回答能给您提供帮助,请记得标记为答案。
    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

    2020年4月27日 5:27
  • 那如果我想要在警告信息里加上自定义的链接要在哪里配置
    2020年4月27日 6:01
  • 你好,小鱼,

    感谢你的回复。

    不好意思目前暂时还没有办法可以达到你想要的效果。

    系统设计之初并未添加类似该功能进入系统中。

    希望你可以理解,谢谢!


    Sincerely Yours
    Charles

    如果我的回答能给您提供帮助,请记得标记为答案。
    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

    2020年4月27日 6:25
  • 我按你说的在域控的组策略上做了设置,没生效!到pc客户端上看Application Identity未改成自动,这个服务要怎么批量使域内的计算机上都改成自动?
    2020年4月28日 0:37
  • 我的操作系统为windows7 sp1 专业版,请问Applocker配置是否支持该版本?
    2020年4月28日 1:31
  • 你好,小鱼!

    感谢你的回复。

    不知你设置该组策略的域控制器是什么版本,根据你的描述,我们在Windows Server 2012 R2, Windows Server 2016, Windows Server 2019这三种服务器版本中进行过设置,也在Windows 8.1, Windows 10等各种版本的客户端中也进行过组策略应用,Application Identify也都能变成自动均未出现您所述的情况。

    由于微软已经宣布与2020年1月14日之后不再支持Windows7的技术支持(相关网址:https://support.microsoft.com/en-us/help/4057281/windows-7-support-ended-on-january-14-2020),所以在我们的测试环境中没有办法添加一台Windows 7 sp1专业版的成员计算机来进行问题复现。

    建议您将系统版本升级后再次进行尝试或者改用以下方法去禁用用户使用浏览器:
    计算机配置->策略->Windows设置->安全设置->软件限制策略->附加规则  右击附加规则,选择创建新路径规则,点击浏览,将包含IE的文件夹选择后点击确定,然后在选择完安全等级之后点击确定以保存规则。

    提示:正常情况下应有两个文件夹包含IE浏览器,例如在我的环境中我的IE浏览器目录名为internet explorer的文件夹有两个分别被放在了C:\Program Files\internet explorer和‪C:\Program Files (x86)\Internet Explorer中。所以我需要创建两次新的路径规则并分别将这两个包含IE浏览器的文件夹路径添加到规则中,否则无法生效。

    如上所述操作部署完组策略之后,再去域内客户端计算机上以普通域用户账户登录并运行命令提示符gpupdate /force以应用最新的组策略配置,待应用成功后稍等几分钟再去打开IE。另外用软件限制策略打开部署该策略之后,使用客户端计算机的普通用户将无法打开浏览器,也不会显示该软件被禁用的字样。

    感谢您的理解!

    此致,
    查尔斯

    如果我的回答能给您提供帮助,请记得标记为答案。
    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年4月28日 3:21
  • 我的域控是windows2016 ,客户端改成windows10 (1909)还是不成功,通过gpresult /r 查看已应用组策略!

    Applocker上是否需要开启强制匹配

    2020年4月28日 6:04
  • 你好,小鱼!

    不需要开启强制匹配的。如果你的GPO中将Application Identity配置成为了如下所示的情况,并且在Applocker里创建了正确的文件夹路径规则将包含IE的文件夹都放在了里面的话。正常情况下你到成员机上用普通域用户登录并运行命令gpupdate /force以应用最新策略配置并得到应用成功的信息的话,是一切正常运行的。

    除非你配置这条组策略的GPO没有被链接到你用域用户所登陆的这台成员计算机所在的组织单位中。你可以去组策略管理控制台看看这条GPO是否已经被链接到上述组织单位。。

    也可以在该成员计算机上通过管理员身份运行命令gpresult /h c:\gpresult1.html然后在C盘中你会发现一个叫gpresult1的html类型文件,你可以打开它并在其中访问已经被应用到这台计算机上的组策略配置以及已经链接到这台计算机所在的组织单位中的GPO。


    此致,
    查尔斯

    如果我的回答能给您提供帮助,请记得标记为答案。
    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年4月28日 7:16