[转载]浅谈组策略设置IE受信任站点
在企业中,通常会有一些业务系统,要求必须加入到客户端IE受信任站点,才能完全正常运行访问,在没有域的情况下,可能要通过管理员手动设置,或者通过其它网络推送方法来设置。
有了域之后,这项工作就可以很好的通过组策略来统一完成,管理员可以在AD里面专门定义一条用于IE设置的组策略,来集中管理客户端的IE设置,那么这条组策略应该如何设置,其实有很多种办法,今天笔者提取其中三条比较常见的场景来和各位看官进行讨论。
方式一:
1、在计算机配置 - 管理模板 - Windows组件 - Internet控制面板中,有一项站点到区域分配列表 如下
2、在站点到区域分配列表中,可以根据策略设置的提示来完成网站的添加,如下图所示。
3、设置完成后,等待90-120分钟后,客户端即可自动应用,此处我们使用gpupdate /force,强制在客户端上进行刷新。
注意,此条策略是计算机配置策略,所以链接到的OU下,一定要是计算机对象才可以
4、在客户端运行组策略刷新之后,打开控制面板-Intranet选项,本地Intranet-高级,即可看到在组策略中,设置的选项已经成功应用到了客户端。
5、打开控制面板-Internet选项-安全-可信站点,可以看到,受信任站点也已经顺利的添加了进来。
通过上述的操作设置,已经可以成功让客户端计算机应用到IE设置组策略,这种方法的好处就是可以通过组策略统一设置,但是也有不好的一点,就是客户端不能够手动添加受信任站点,例如用户需要使用某些网银,需要添加银行站点到受信任区域,用户就不能手动的进行添加了。只能是管理员统一在域控制器组策略上统一设置,这种办法实现出来就是,IE设置完全交由管理员统一设置,从安全角度来讲,也避免了用户误操作,误添加受信任站点的风险。
方式二:
1、接下来再看另外一种办法,首先去掉之前设置的组策略,避免冲突。
2、打开组策略-用户配置-注册表,配置内容如下
-
操作:更新
-
配置单元:HKEY_CURRENT_USER
-
注册表项路径(此处填写需要添加的站点):
-
Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\superdream.com\www
-
值名称:http(可以填写http or https)
-
值类型:REG_DWORD
-
数值数据:00000002 (注: 00000001 为Intranet区域 ,00000002 为受信任站点区域,00000003为Internet区域,00000004为受限制站点区域)
-
基数:十六进制
3、注意,这是一条用户配置策略,所以要确保策略链接到的组织单位内有用户,策略才会生效。
4、首先,在已加入域的机器上,以本地administrator登录,然后刷新组策略
5、可以看到,之前配置的站点分配列表已经清空,但是新配置的首选项却并未生效,Why?
6、切换成域用户登录试试看
7、发现首选项已经成功的应用上了,并且用户是可以手动修改的。
8、再次切换回本地administrator登录,发现策略又失效了,Why?
通过上述的设置,我们可以看出,通过用户首选项可以实现,为用户提供一个默认值,但是用户是可以修改的。这样就解决了上面提到的问题,一旦用户遇到需要添加的受信任站点,就可以手动在自己电脑上添加,也不会影响到其它人。这就是首选项的目的,但是这样做了之后,发现只能是针对于域用户应用,即是说,组策略只能链接到用户OU,并且客户端必须使用域用户登录到域,才能应用上策略,这样好也不好,好处是,可以通过这种方式,控制客户端使用域用户登录。不使用域用户登录,就不能完全访问公司的业务站点,坏处可能就是某些用户已经习惯了使用本地administrator登录,而且个人配置也都存储在本地administrator中,用户可能回并不愿意切换到域用户登录,到后来增加的还是IT人员的工作量,但是如果一定要实现这条组策略,而且客户端还需要使用本地administrator登录,也可以针对于计算机OU使用策略,然后使用环回处理,强制把用户配置覆盖掉或者合并,但是这样做会增加组策略的处理复杂性。所以通常能不用环回,尽量不要使用 把组策略搞的复杂。So,这也是一种折中的办法。
方式三:
1、首先清除掉之前用户配置首选项中的设置,避免冲突。然后打开组策略-计算机配置-首选项-Windows设置-注册表
2、编辑内容如下:
-
操作:更新
-
配置单元:HKEY_LOCAL_MACHINE
-
注册表项路径(此处填写需要添加的站点):
-
SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\*.zaj.com (此处可以填写* ,*即代表允许这个域名的所有主机名)
-
值名称:http
-
值类型:REG_DWORD
-
数值数据:00000002 (注: 00000001 为Intranet区域 ,00000002 为受信任站点区域,00000003为Internet区域,00000004为受限制站点区域)
-
基数:十六进制
3、根据前面的说明,可以再添加一条https的默认值,加入到00000001本地Intranet区域。
4、在首选项的设置中,有一项叫做 当不再应用项目时删除此项目。
默认情况下,如果首选项应用到了客户端,某一天当组策略被删除掉了,客户端已经应用的首选项应该还在。当组策略首选项勾选了这个选项之后,当首选项不再应用的时候,会去清空客户端已经应用的首选项设置。
5、配置完成后,在客户端使用本地administrator登录,刷新一下组策略就可以看见已经成功应用的受信任站点,并且用户是可以手动添加修改的,而且也无需必须使用域用户登录
6、客户端打开本地Intranet区域,可以看到https的网站也已经成功添加了进来,并且用户是可以自行手动添加删除的。
通过以上几个简单的验证,大家可以看到,其实通过组策略设置IE受信任站点有很多种办法,其实不止以上三种,还可以做成一个bat文件,让客户端登录时自动运行,或者通过IEAK做成一个msi的IE包,然后通过组策略统一推送给客户端。通过IEAK可以完成更多的IE企业集中设置。
但是不论是那种办法,最终都是为了实现集中管理,易用的管理,所以根据实际的业务场景去思考问题很重要,也要结合用户体验,风险性,可行性去综合考虑。欢迎大家拍砖 By 老王
本文出自 “一个倔强的孤岛” 博客,请务必保留此出处http://wzde2012.blog.51cto.com/6474289/1700868