现象
执行 GPUpdate /force时,可能会看到以下输出:
Windows failed to apply the Internet Explorer Zonemapping settings. Internet Explorer Zonemapping settings might have its own log file. Please click on the "More information" link.
运行GPRESULT /H GPReport.html并检查报表时,将在“组件状态”下看到以下信息:
Internet Explorer Zonemapping Failed (no data)
Internet Explorer Zonemapping failed due to the error listed below.
The parameter is incorrect.
Additional information may have been logged. Review the Policy Events tab in the console or the application event log for events between [time]
系统事件日志包含一个事件 ID 1085,指示与“Internet Explorer ZoneMapping”相关的组策略处理错误,如下所示:
Log Name: System
Source: Microsoft-Windows-GroupPolicy
Event ID: 1085
Level: Warning
Description: Windows failed to apply the Internet Explorer Zonemapping settings. Internet Explorer Zonemapping settings might have its own log file. Please click on the "More information" link.
Event Xml:
<Event xmlns="https://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{<GUID>}" />
<EventID>1085</EventID>
<Level>3</Level>
</System>
<EventData>
<Data Name="ErrorCode">87</Data>
<Data Name="ErrorDescription">The parameter is incorrect. </Data>
<Data Name="ExtensionName">Internet Explorer Zonemapping</Data>
<Data Name="ExtensionId">{<ExtensionID>}</Data>
</EventData>
</Event>
原因
如果在以下路径中输入站点到区域分配列表策略中的无效条目,则可能会出现此事件:
计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页
用户配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页
"站点到区域分配列表"策略
策略中描述了站点到区域分配列表策略的格式。 通过此策略设置,可以管理要与特定安全区域关联的站点列表。 这些区域编号具有应用于该区域中的所有站点的相关安全设置。
Internet Explorer 有四个安全区域,此策略设置用于将站点与区域相关联。 它们按1到4最受信任到最不受信任的降序顺序进行编号和定义:
- 本地内联网区域
- 可信站点区域
- 互联网区域
- 受限站点区
可以通过其他策略设置为每个区域设置设置安全设置,其默认设置为:
- 受信任的站点区域 (低模板)
- 内部网络区域(中低级模板)
- 互联网区域(中等模板)
- 受限站点区域 (高模板)
本地计算机区域及其等效的锁定区域具有保护本地计算机的特殊安全设置。
如果启用此策略设置,则可以输入站点及其相关区域编号的列表。 网站与区域关联的可确保将指定区域的安全设置应用于该站点。 对于添加到列表的每个条目,请输入以下信息:
Valuename:它用于为 Intranet 站点指定主机,或为其他站点指定完全限定的域名。valuename也可能包括特定协议。 例如,如果输入https://www.contoso.com作为valuename,其他协议将不会受到影响。 如果只是输入www.contoso.com,该站点的所有协议都会受到影响,包括 http、https、ftp 等。 站点也可以表示为 IP 地址(如 127.0.0.1)或范围(如 127.0.0.1-10)。 为了避免创建冲突策略,请不要在域后包括其他字符,例如尾部斜杠或 URL 路径。 例如,Internet Explorer 将策略www.contoso.comwww.contoso.com/mail设置视为相同的策略设置,因此,冲突。Value:这是您希望将站点与其安全设置关联的区域编号。Value上述 Internet Explorer 区域的状态范围是从1到4。
在组策略编辑器中输入数据时,没有可用的语法或逻辑错误检查。 当 Internet Explorer 区域映射组策略扩展将注册表转换为 Internet Explorer 使用的格式时,客户端将执行此错误检查。 在该转换期间,手动将站点添加到特定安全区域时,将实现相同的方法。 如果在手动添加条目时被拒绝,则即使使用组策略并且事件 1085 已发出,转换也会失败。 例如,当您尝试在添加网站时向顶级域名(如*.com或*.co.uk)添加通配符项时,该通配符项将被拒绝。 现在,问题是,哪些条目被视为 TLD;默认情况下,以下方案在 Internet Explorer 中被视为 TLD:
- 平面域(如
.com)。 - 双字母 TLD 中的双字母域(例如
.co.uk)。
以下博客文章包括领域的详细解释:
解决方法
若要识别策略中的错误条目,请下载并运行 IEDigest 工具。 创建报表并在 Web 浏览器中打开报表后,你将看到一个 警告 部分,其中命名了不正确的条目。 需要在组策略中删除这些条目(或更正)。 下面是尝试将 *.com 添加到某个区域时的示例:
警告
说明 关键 名称 值 站点到区域分配列表中的条目无效。 单击此处了解 详细信息 HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey *.com无效
详细信息
第三方联系人免责声明
Microsoft 会提供第三方联系信息来帮助你查找有关本主题的其他信息。 此联系信息可能会更改,恕不另行通知。 Microsoft 不保证第三方联系信息的准确性。