Risolvere gli errori di "Mapping delle zone di Internet Explorer" durante l'elaborazione di Criteri di gruppo

2023-08-21

Sintomi

Quando si esegue GPUpdate /force, è possibile che venga visualizzato l'output seguente:

Windows failed to apply the Internet Explorer Zonemapping settings. Internet Explorer Zonemapping settings might have its own log file. Please click on the "More information" link.

Quando si esegue GPRESULT /H GPReport.html ed esamina il report, vengono visualizzate le informazioni seguenti in Stato componente:

Internet Explorer Zonemapping                                        Failed (no data)
Internet Explorer Zonemapping failed due to the error listed below.
The parameter is incorrect.
Additional information may have been logged. Review the Policy Events tab in the console or the application event log for events between [time]

Il registro eventi di sistema contiene un ID evento 1085 che indica un errore di elaborazione di Criteri di gruppo correlato a "Internet Explorer ZoneMapping", come quello seguente:

Log Name:      System
Source:        Microsoft-Windows-GroupPolicy
Event ID:      1085
Level:         Warning
Description:  Windows failed to apply the Internet Explorer Zonemapping settings. Internet Explorer Zonemapping settings might have its own log file. Please click on the "More information" link.
Event Xml:
<Event xmlns="https://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{<GUID>}" />
<EventID>1085</EventID>
<Level>3</Level>
</System>
<EventData>
<Data Name="ErrorCode">87</Data>
<Data Name="ErrorDescription">The parameter is incorrect. </Data>
<Data Name="ExtensionName">Internet Explorer Zonemapping</Data>
<Data Name="ExtensionId">{<ExtensionID>}</Data>
</EventData>
</Event>

Causa

Questo evento può verificarsi se si immette una voce non valida all'interno del criterio Elenco Assegnazioni da Sito a Zona nei percorsi seguenti:

Configurazione computer\Modelli amministrativi\Componenti di Windows\Internet Explorer\Internet Pannello di controllo\Pagina Sicurezza
Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer\Internet Pannello di controllo\Pagina Sicurezza

Politica "Elenco di assegnazione da sito a zona"

Il formato della politica Elenco di Assegnazione Da Sito a Zona è descritto all'interno della politica. Questa impostazione di criterio consente di gestire un elenco di siti da associare a una determinata zona di sicurezza. Questi numeri di zona hanno associato impostazioni di sicurezza applicabili a tutti i siti nell'area.

Internet Explorer dispone di quattro aree di sicurezza, usate da questa impostazione di criterio per associare siti alle zone. Sono numerati 1 a 4 e definiti in ordine decrescente dal più al meno affidabile.

Area Intranet locale
Zona Siti attendibili
Area Internet
Area Siti con restrizioni

Le impostazioni di sicurezza possono essere impostate per ognuna di queste zone tramite altre impostazioni dei criteri e le relative impostazioni predefinite sono:

Area Siti attendibili (modello basso)
Zona Intranet (modello medio-basso)
Area Internet (modello medio)
Area Siti con restrizioni (impostazione alta)

L'area Computer locale e l'equivalente bloccato hanno impostazioni di sicurezza speciali che proteggono il computer locale.

Se si abilita questa impostazione di criterio, è possibile immettere un elenco di siti e i relativi numeri di zona. L'associazione di un sito a una zona garantisce che le impostazioni di sicurezza per la zona specificata vengano applicate a tale sito. Per ogni voce che si aggiunge all'elenco è necessario immettere le informazioni seguenti:

Valuename: viene usato per specificare un host per un sito Intranet o un nome di dominio completo per altri siti. valuename può includere anche un protocollo specifico. Ad esempio, se si immette https://www.contoso.com come valuename, gli altri protocolli non sono interessati. Se si immette semplicemente www.contoso.com, tutti i protocolli per quel sito sono interessati, inclusi http, https, ftp e così via. Il sito può anche essere espresso come indirizzo IP (ad esempio 127.0.0.1) o un intervallo (ad esempio 127.0.0.1-10). Per evitare di creare criteri in conflitto, non includere altri caratteri dopo il dominio, ad esempio una barra finale o un percorso URL. Ad esempio, le impostazioni dei criteri per www.contoso.com e www.contoso.com/mail verranno considerate come la stessa impostazione di criteri da Internet Explorer e quindi in conflitto.
Value: è il numero della zona da associare al sito con le impostazioni di sicurezza. L'impostazione Value delle zone di Internet Explorer sopra è 1 a 4.

Quando si inseriscono dati nell'Editor Criteri di gruppo, non è disponibile alcun controllo degli errori di sintassi o logici. Questo controllo degli errori viene eseguito sul client quando l'estensione dei criteri di gruppo di mappatura delle zone di Internet Explorer converte il Registro nel formato utilizzato da Internet Explorer. Durante tale conversione, gli stessi metodi vengono implementati quando si aggiunge manualmente un sito a una zona di sicurezza specifica. Se una voce viene rifiutata quando la si aggiunge manualmente, la conversione fallisce anche quando si utilizzano i Criteri di gruppo e viene generato l'evento 1085. Ad esempio, quando si tenta di aggiungere una voce wildcard a un dominio di primo livello (ad esempio *.com o *.co.uk) durante l'aggiunta di un sito, la voce wildcard viene rifiutata. Ora, la domanda è, quali voci vengono considerate come TLD; per impostazione predefinita, gli schemi seguenti vengono considerati come TLD in Internet Explorer:

Domini flat ( ad esempio .com).
Domini a due lettere in un TLD a due lettere ( ad esempio .co.uk).

Il post di blog seguente include una spiegazione granulare dei domini:

Informazioni sui nomi di dominio in Internet Explorer

Risoluzione

Per identificare voci non corrette nei criteri, scaricare ed eseguire lo strumento IEDigest . Dopo aver creato un report e dopo averlo aperto nel tuo browser web, vedrai una sezione Avvisi in cui sono elencate le voci non corrette. Queste voci devono essere rimosse (o corrette) nei Criteri di gruppo. Di seguito è riportato un esempio dell'aspetto che si verifica quando si tenta di aggiungere *.com a una zona:

Avvisi

Descrizione Chiave Nome Valore

Voce non valida nell'elenco di assegnazione da sito a zona. Fare clic qui per altre informazioni HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey *.com non è valido

Descrizione	Chiave	Nome	Valore
Voce non valida nell'elenco di assegnazione da sito a zona. Fare clic qui per altre informazioni	HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey	*.com non è valido

Ulteriori informazioni

Dichiarazione di non responsabilità di contatti di terze parti

Microsoft fornisce informazioni di contatto di terze parti per aiutarti a trovare ulteriori informazioni su questo argomento. Queste informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni di contatto di terze parti.

Condividi tramite