浅谈组策略设置IE受信任站点

在企业中,通常会有一些业务系统,要求必须加入到客户端IE受信任站点,才能完全正常运行访问,在没有域的情况下,可能要通过管理员手动设置,或者通过其它网络推送方法来设置。

有了域之后,这项工作就可以很好的通过组策略来统一完成,管理员可以在AD里面专门定义一条用于IE设置的组策略,来集中管理客户端的IE设置,那么这条组策略应该如何设置,其实有很多种办法,今天笔者提取其中三条比较常见的场景来和各位看官进行讨论。

  • 首先,最常见的肯定就是这条了,在计算机配置 - 管理模板 - Windows组件 - Internet控制面板中,有一项站点到区域分配列表 如下

  • 在站点到区域分配列表中,可以根据策略设置的提示来完成网站的添加,如下图所示。

  • 设置完成后,等待90-120分钟后,客户端即可自动应用,此处我们使用gpupdate /force,强制在客户端上进行刷新,注意,此条策略是计算机配置策略,所以链接到的OU下,一定要是计算机对象才可以
  • 在客户端运行组策略刷新之后,打开控制面板-Intranet选项,本地Intranet-高级,即可看到在组策略中,设置的选项已经成功应用到了客户端。

  • 打开控制面板-Internet选项-安全-可信站点,可以看到,受信任站点也已经顺利的添加了进来。

通过上述的操作设置,已经可以成功让客户端计算机应用到IE设置组策略,这种方法的好处就是可以通过组策略统一设置,但是也有不好的一点,就是客户端不能够手动添加受信任站点,例如用户需要使用某些网银,需要添加银行站点到受信任区域,用户就不能手动的进行添加了。只能是管理员统一在域控制器组策略上统一设置,这种办法实现出来就是,IE设置完全交由管理员统一设置,从安全角度来讲,也避免了用户误操作,误添加受信任站点的风险。

  • 接下来再看另外一种办法,首先去掉之前设置的组策略,避免冲突。

  • 打开组策略-用户配置-注册表,配置内容如下
  • 操作:更新
  • 配置单元:HKEY_CURRENT_USER
  • 注册表项路径此处填写需要添加的站点
  • Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\superdream.com\www
  • 值名称:http(可以填写http or https)
  • 值类型:REG_DWORD
  • 数值数据:00000002 (注: 00000001 为Intranet区域 ,00000002 为受信任站点区域,00000003为Internet区域,00000004为受限制站点区域)
  • 基数:十六进制

  • 注意,这是一条用户配置策略,所以要确保策略链接到的组织单位内有用户,策略才会生效。

  • 首先,在已加入域的机器上,以本地administrator登录,然后刷新组策略

  • 可以看到,之前配置的站点分配列表已经清空,但是新配置的首选项却并未生效,Why?

  • 切换成域用户登录试试看

  • 发现首选项已经成功的应用上了,并且用户是可以手动修改的。

  • 再次切换回本地administrator登录,发现策略又失效了,Why?

通过上述的设置,我们可以看出,通过用户首选项可以实现,为用户提供一个默认值,但是用户是可以修改的。这样就解决了上面提到的问题,一旦用户遇到需要添加的受信任站点,就可以手动在自己电脑上添加,也不会影响到其它人。这就是首选项的目的,但是这样做了之后,发现只能是针对于域用户应用,即是说,组策略只能链接到用户OU,并且客户端必须使用域用户登录到域,才能应用上策略,这样好也不好,好处是,可以通过这种方式,控制客户端使用域用户登录。不使用域用户登录,就不能完全访问公司的业务站点,坏处可能就是某些用户已经习惯了使用本地administrator登录,而且个人配置也都存储在本地administrator中,用户可能回并不愿意切换到域用户登录,到后来增加的还是IT人员的工作量,但是如果一定要实现这条组策略,而且客户端还需要使用本地administrator登录,也可以针对于计算机OU使用策略,然后使用环回处理,强制把用户配置覆盖掉或者合并,但是这样做会增加组策略的处理复杂性。所以通常能不用环回,尽量不要使用 把组策略搞的复杂。So,这也是一种折中的办法。

  • 首先清除掉之前用户配置首选项中的设置,避免冲突。然后打开组策略-计算机配置-首选项-Windows设置-注册表

  • 编辑内容如下
  • 操作:更新
  • 配置单元:HKEY_LOCAL_MACHINE
  • 注册表项路径此处填写需要添加的站点
  • SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\*.zaj.com (此处可以填写* ,*即代表允许这个域名的所有主机名)
  • 值名称:http
  • 值类型:REG_DWORD
  • 数值数据:00000002 (注: 00000001 为Intranet区域 ,00000002 为受信任站点区域,00000003为Internet区域,00000004为受限制站点区域)
  • 基数:十六进制

  • 根据前面的说明,可以再添加一条https的默认值,加入到00000001本地Intranet区域。

  • 在首选项的设置中,有一项叫做 当不再应用项目时删除此项目。默认情况下,如果首选项应用到了客户端,某一天当组策略被删除掉了,客户端已经应用的首选项应该还在。当组策略首选项勾选了这个选项之后,当首选项不再应用的时候,会去清空客户端已经应用的首选项设置。

  • 配置完成后,在客户端使用本地administrator登录,刷新一下组策略就可以看见已经成功应用的受信任站点,并且用户是可以手动添加修改的,而且也无需必须使用域用户登录

  • 客户端打开本地Intranet区域,可以看到https的网站也已经成功添加了进来,并且用户是可以自行手动添加删除的。

通过以上几个简单的验证,大家可以看到,其实通过组策略设置IE受信任站点有很多种办法,其实不止以上三种,还可以做成一个bat文件,让客户端登录时自动运行,或者通过IEAK做成一个msi的IE包,然后通过组策略统一推送给客户端。通过IEAK可以完成更多的IE企业集中设置。

但是不论是那种办法,最终都是为了实现集中管理,易用的管理,所以根据实际的业务场景去思考问题很重要,也要结合用户体验,风险性,可行性去综合考虑。欢迎大家拍砖

By 老王

时间: 2024-12-14 04:01:58

浅谈组策略设置IE受信任站点的相关文章

浅谈贪心策略——相邻交换

浅谈贪心策略——相邻交换 题解主要写贪心的考虑方法:相邻交换法. 我们在平时的贪心题几乎都可以正确的贪心方法. 主要思想 设交换前对答案的贡献为x,交换后对答案的贡献为y l  若x>y则不交换 l  若x<y则需交换 l  若x==y则不交换(交换反而增加时间复杂度) 作为题目,需要建立数学模型设置未知数表示x和y得到不等式从而得出排序的关键字. 例题:皇后游戏(Luogu OJ P2123) 网址: https://www.luogu.org/problemnew/show/P2123 题

解决虚拟桌面IE受信任站点与active控件下载提示的方法

Pool池桌面(随机)安装完成以后,通过IE打开办公平台出现office控件问题: 1.  同一台虚拟桌面,同一个用户帐号,注册安装一次控件就行了. 2.  同一台虚拟桌面,不同的用户帐号,必须重新安装注册控件才行. 对于随机虚拟桌面来说,用户每次登录的可能都是不同的虚拟桌面,那么就会出现每次都要安装注册控件,这要如何来解决? 对于IE中的Active控件,如果要实现不会弹出提示,自动安装,是如何设置的? (1)加入可信站点: (2)设置可信站点的"自定义级别",其中相关Active控

通过组策略设置IE收藏夹和可信任站点

自从Win2008R2版本开始,组策略的IE Maintenance不见了,之前可以使用IEM做得很多事例如设置默认主页,可信任站点,收藏夹选项等功能都需要使用别的办法来实现了. 使用管理模板功能设置默认主页 定位到 用户设置->管理模板->Windows组件->Internet Explorer->禁止更改主页设置选项,点击已启用在文本框中输入需要锁定的主页即可完成设置 2.通过快捷方式添加IE收藏夹 定位到 用户设置->首选项->windows设置->快捷方式

Windows2008server R2 组策略设置浏览器主页

统一设置公司浏览器主页,防止篡改 1,在服务器2008server上打开域策略管理器,新建一个名为IE的组策略对象. 2,点击右键编辑按钮,在用户配置--首选项--控制面板--Internet设置--新建IE. 3,根据环境需要选择不同的IE版本,我这里选择的是IE8. 4,设置IE主页,我这里设置的是2345导航主页,https://www.2345.com/?k97184534 5,最后说一点,你客户端是360浏览器只要是内核是IE的也可以成功实现. 6,如果首页没有改过来,那么需要刷新组策

通过“委派”过滤组策略设置

任务要求:在"WorldSkills2017.china"域中已经创建好了一个名为IT的域组,要求将IT组设为域里所有机器的本地管理员,除了domain contoller.要完成这个任务,重点需要设置组策略的委派.首先创建一个名为"将IT组设为本地管理员"的组策略,打开"计算机配置/首选项/控制面板设置/本地用户和组".在"本地用户和组"上右键单击,选择"新建/本地组",然后选择Administrator

组策略设置隔离文件夹

准备一个相对隔离的文件夹可以避免很多不小心的操作,比如下载了个病毒样本并且不小心双击了. 首先win+R打开运行窗口,输入gpedit.msc打开本地组策略编辑器 依次打开Windows设置->安全设置->软件限制策略 在其他规则中右键选择新建路径规则 选择要隔离的文件夹,安全级别设置为不允许 最后拉一个正常软件到隔离文件夹中测试一些,在win10中的拦截情况如图 原文地址:https://www.cnblogs.com/QKSword/p/10887695.html

Windows Server 2008 R2域控组策略设置禁用USB

问题: Windows Server 2008 R2域控服务器如何禁用客户端使用USB移动存储(客户端操作系统需要 Windows Vista以上的操作系统,XP以下的操作系统不能禁用USB移动存储). 标注:对于Windows Server 2008 R2域控组策略禁用USB移动存储设备要求是客户端操作系统要求Windows Vista以上,针对 XP以下的操作系统则只能使用Windows Server 2003操作系统作为域控服务器才可以进行限制(操作方法跟windows server 20

(转)在server 2008R2组策略设置所有域计算机防火墙都处于更关闭状态

组策略在域控中相当重要,我们可以下放一个组策略去统一管理下面客户端的配置,具体配置如下: 首先点击开始____管理工具____组策略管理 防火墙关闭完之后我们该如何到客户端验证呢? 首先我们需要现在客户端执行gpupdate /force 强制客户端同步,这个默认同步需要4个小时才同步,所以做完我们客户先配置其他的过一段时间在来查看客户端防火墙是否关闭状态,如果是管理员在AD策略上统一下发关闭的策略,客户端显示图如下:

浅谈innodb_buffer_pool_size的设置

设置innodb_buffer_pool_size为可用内存的50-60%.注意可用内存应该是linux命令free下的-/+ buffers/cache行的free值:innodb_buffer_pool_size的值应该是在mysql实例没有启动情况下的值,而不是实例启动后的值.见示例. 示例: (1)在没有对innodb_buffer_pool_size参数优化前: SELECT sql_no_cache N1.N_NAME AS SUPP_NATION, N2.N_NAME AS CUS