使用Group policy派送IE trust site時，無法在terminal server上生效

問題徵狀 ：

使用 Group Policy裏的IE 維護原則設定信任網站後，您發現大部份的Client都套用成功，但是Windows 2003 的terminal server沒有生效。

問題分析：

1. 首先，先確認IE的Ehanced security configuration是否有被勾選，如果有的話，請在新增移除Windows 元件裏，將這個項目拿掉，再套用一次policy測試(預設在Windows 2003機器裏，該選項是勾選的)。
2. 如果關閉後，仍無法生效，請檢查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1機碼是否存在，如果存在的話，請刪除之，再套用一次，

補充說明：

1. 在Enable IE ESC時，它信任網站讀的機碼是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains 位置。
2. 當初在建立信任網站的Policy時，假設在DC上已經將IE ESC的功能關閉，因此套用下來時的機碼會寫在KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains下。如果用戶端有Enable IE ESC，就不會生效。
3. 因此要確認無法生效的機器上，IEESC是否有確定關閉，並且該機碼也確定被刪除；有些情況下，將該勾勾拿掉後，機碼仍沒有刪除成功，因此信任網站的設定仍沒有生效。

 

解決方法 ︰

解決方式是要將IEESC關閉後，並且確認在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1裏的機碼被刪除。

1. 下載https://www.microsoft.com/downloads/details.aspx?familyid=d41b036c-e2e1-4960-99bb-9757f7e9e31b&displaylang=en

2. 將裏面的 InetESC.adm copy至該機器。

3. 執行本機群組原則，匯入此adm

4. 點到電腦設定>系統管理範本>IE Components> Internet Explorer> IEESC，將游標定位在上面

5. 點選MMC的檢視>篩選，將裏面的選項都拿掉

6. 完成後您將可看到下列設定項目並且可以進一步設定。

7. 將以下的文字存成一個bat檔，讓登入Terminal Server的user派送自動去執行的話，確定IEESC殘留的機碼被刪除成功。

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v IEHarden /f

8. 只要上述的policy 生效，IEESC會被移除，信任網站即可以成功寫入Terminal Server上。