在企業中,通常會有一些業務系統,要求必須加入到客戶端IE受信任站點,才能完全正常運行訪問,在沒有域的情況下,可能要通過管理員手動設置,或者通過其它網絡推送方法來設置。
有了域之後,這項工作就可以很好的通過組策略來統一完成,管理員可以在AD裏面專門定義一條用於IE設置的組策略,來集中管理客戶端的IE設置,那麼這條組策略應該如何設置,其實有很多種辦法,今天筆者提取其中三條比較常見的場景來和各位看官進行討論。
首先,最常見的肯定就是這條了,在計算機配置 - 管理模板 - Windows組件 - Internet控制面板 - 安全頁,有一項設置 站點到區域分配列表 如下圖
在站點到區域分配列表中,可以根據策略設置的提示來完成網站的添加,如下圖所示。
設置完成後,等待90-120分鐘後,客戶端即可自動應用,此處我們使用gpupdate /force,強制在客戶端上進行刷新,注意,此條策略是計算機配置策略,所以鏈接到的OU下,一定要是計算機對象纔可以
在客戶端運行組策略刷新之後,打開控制面板-Intranet選項,本地Intranet-高級,即可看到在組策略中,設置的選項已經成功應用到了客戶端。
打開控制面板-Internet選項-安全-可信站點,可以看到,受信任站點也已經順利的添加了進來。
通過上述的操作設置,已經可以成功讓客戶端計算機應用到IE設置組策略,這種方法的好處就是可以通過組策略統一設置,但是也有不好的一點,就是客戶端不能夠手動添加受信任站點,例如用戶需要使用某些網銀,需要添加銀行站點到受信任區域,用戶就不能手動的進行添加了。只能是管理員統一在域控制器組策略上統一設置,這種辦法實現出來就是,IE設置完全交由管理員統一設置,從安全角度來講,也避免了用戶誤操作,誤添加受信任站點的風險。
接下來再看另外一種辦法,首先去掉之前設置的組策略,避免衝突。
打開組策略 - 用戶配置 - 首選項 - Windows設置 - 註冊表,配置內容如下
操作:更新
配置單元:HKEY_CURRENT_USER
註冊表項路徑(此處填寫需要添加的站點):
Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\superdream.com\www
值名稱:http(可以填寫http or https)
值類型:REG_DWORD
數值數據:00000002 (注: 00000001 爲Intranet區域 ,00000002 爲受信任站點區域,00000003爲Internet區域,00000004爲受限制站點區域)
基數:十六進制
注意,這是一條用戶配置策略,所以要確保策略鏈接到的組織單位內有用戶,策略纔會生效。
首先,在已加入域的機器上,以本地administrator登錄,然後刷新組策略
可以看到,之前配置的站點分配列表已經清空,但是新配置的首選項卻並未生效,Why?
切換成域用戶登錄試試看
發現首選項已經成功的應用上了,並且用戶是可以手動修改的。
再次切換回本地administrator登錄,發現策略又失效了,Why?
通過上述的設置,我們可以看出,通過用戶首選項可以實現,爲用戶提供一個默認值,但是用戶是可以修改的。這樣就解決了上面提到的問題,一旦用戶遇到需要添加的受信任站點,就可以手動在自己電腦上添加,也不會影響到其它人。這就是首選項的目的,但是這樣做了之後,發現只能是針對於域用戶應用,即是說,組策略只能鏈接到用戶OU,並且客戶端必須使用域用戶登錄到域,才能應用上策略,這樣好也不好,好處是,可以通過這種方式,控制客戶端使用域用戶登錄。不使用域用戶登錄,就不能完全訪問公司的業務站點,壞處可能就是某些用戶已經習慣了使用本地administrator登錄,而且個人配置也都存儲在本地administrator中,用戶可能回並不願意切換到域用戶登錄,到後來增加的還是IT人員的工作量,但是如果一定要實現這條組策略,而且客戶端還需要使用本地administrator登錄,也可以針對於計算機OU使用策略,然後使用環回處理,強制把用戶配置覆蓋掉或者合併,但是這樣做會增加組策略的處理複雜性。所以通常能不用環回,儘量不要使用 把組策略搞的複雜。So,這也是一種折中的辦法。
接下來我們再來看看第三種辦法,也是我認爲較爲合適的辦法,這種辦法是將首選項策略做在計算機配置下的首選項註冊表中,即客戶端只要加入到域的OU下,就可以應用到策略,用戶可以自行添加修改,且無需用戶必須使用域用戶登錄到域。
首先清除掉之前用戶配置首選項中的設置,避免衝突。然後打開組策略-計算機配置-首選項-Windows設置-註冊表
編輯內容如下
操作:更新
配置單元:HKEY_LOCAL_MACHINE
註冊表項路徑(此處填寫需要添加的站點):
SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\*.zaj.com (此處可以填寫* ,*即代表允許這個域名的所有主機名)
值名稱:http
值類型:REG_DWORD
數值數據:00000002 (注: 00000001 爲Intranet區域 ,00000002 爲受信任站點區域,00000003爲Internet區域,00000004爲受限制站點區域)
基數:十六進制
根據前面的說明,可以再添加一條https的默認值,加入到00000001本地Intranet區域。
在首選項的設置中,有一項叫做 當不再應用項目時刪除此項目。默認情況下,如果首選項應用到了客戶端,某一天當組策略被刪除掉了,客戶端已經應用的首選項應該還在。當組策略首選項勾選了這個選項之後,當首選項不再應用的時候,會去清空客戶端已經應用的首選項設置。
配置完成後,在客戶端使用本地administrator登錄,刷新一下組策略就可以看見已經成功應用的受信任站點
客戶端打開本地Intranet區域,可以看到https的網站也已經成功添加了進來,並且用戶是可以自行手動添加刪除的。
通過以上幾個簡單的驗證,大家可以看到,其實通過組策略設置IE受信任站點有很多種辦法,其實不止以上三種,還可以做成一個bat文件,讓客戶端登錄時自動運行,或者通過IEAK做成一個msi的IE包,然後通過組策略統一推送給客戶端。通過IEAK可以完成更多的IE企業集中設置。
但是不論是那種辦法,最終都是爲了實現集中管理,易用的管理,所以根據實際的業務場景去思考問題很重要,也要結合用戶體驗,風險性,可行性去綜合考慮。歡迎大家拍磚
By 老王