在企业中,通常会有一些业务系统,要求必须加入到客户端IE受信任站点,才能完全正常运行访问,在没有域的情况下,可能要通过管理员手动设置,或者通过其它网络推送方法来设置。

      有了域之后,这项工作就可以很好的通过组策略来统一完成,管理员可以在AD里面专门定义一条用于IE设置的组策略,来集中管理客户端的IE设置,那么这条组策略应该如何设置,其实有很多种办法,今天笔者提取其中三条比较常见的场景来和各位看官进行讨论。

  • 首先,最常见的肯定就是这条了,在计算机配置 - 管理模板 - Windows组件 - Internet控制面板 - 安全页,有一项设置 站点到区域分配列表 如下图

wKiom1YWBNKA8DwqAAdeIRbEcuU368.jpg

  • 在站点到区域分配列表中,可以根据策略设置的提示来完成网站的添加,如下图所示。

wKioL1YWBTKx8XVoAAXLGtbrdWY908.jpg

  • 设置完成后,等待90-120分钟后,客户端即可自动应用,此处我们使用gpupdate /force,强制在客户端上进行刷新,注意,此条策略是计算机配置策略,所以链接到的OU下,一定要是计算机对象才可以

  • 在客户端运行组策略刷新之后,打开控制面板-Intranet选项,本地Intranet-高级,即可看到在组策略中,设置的选项已经成功应用到了客户端。

wKiom1YWBlLxl32MAAPWCCx7Bho718.jpg

  • 打开控制面板-Internet选项-安全-可信站点,可以看到,受信任站点也已经顺利的添加了进来。

wKiom1YWBnLA3NJ2AAQ-iCD189U159.jpg


    通过上述的操作设置,已经可以成功让客户端计算机应用到IE设置组策略,这种方法的好处就是可以通过组策略统一设置,但是也有不好的一点,就是客户端不能够手动添加受信任站点,例如用户需要使用某些网银,需要添加银行站点到受信任区域,用户就不能手动的进行添加了。只能是管理员统一在域控制器组策略上统一设置,这种办法实现出来就是,IE设置完全交由管理员统一设置,从安全角度来讲,也避免了用户误操作,误添加受信任站点的风险。


  • 接下来再看另外一种办法,首先去掉之前设置的组策略,避免冲突。

wKioL1YWB8rz8PhCAAbpLJsUKGI145.jpg

  • 打开组策略 - 用户配置 - 首选项 - Windows设置 - 注册表,配置内容如下


  • 操作:更新

  • 配置单元:HKEY_CURRENT_USER

  • 注册表项路径此处填写需要添加的站点

  • Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\superdream.com\www

  • 值名称:http(可以填写http or https)

  • 值类型:REG_DWORD

  • 数值数据:00000002 (注: 00000001 为Intranet区域 ,00000002 为受信任站点区域,00000003为Internet区域,00000004为受限制站点区域)

  • 基数:十六进制

wKioL1YWB8uhm2D_AARNJyPctbs988.jpg

  • 注意,这是一条用户配置策略,所以要确保策略链接到的组织单位内有用户,策略才会生效。

wKiom1YWB7TSgMfqAAF4iI7cnww840.jpg

  • 首先,在已加入域的机器上,以本地administrator登录,然后刷新组策略

wKioL1YWCXXS80JaAAFFWFwlk7c010.jpg

  • 可以看到,之前配置的站点分配列表已经清空,但是新配置的首选项却并未生效,Why?

wKioL1YWCaDyr__hAAMh5xHNdpk379.jpg

  • 切换成域用户登录试试看

wKiom1YWCb3wo2RSAALMpls5jhA774.jpg

  • 发现首选项已经成功的应用上了,并且用户是可以手动修改的。

wKioL1YWCfvB2S0_AAImLzJKpDI310.jpg

  • 再次切换回本地administrator登录,发现策略又失效了,Why?

wKiom1YWDPPwrhVAAAR_0T2s0Bw976.jpg

      通过上述的设置,我们可以看出,通过用户首选项可以实现,为用户提供一个默认值,但是用户是可以修改的。这样就解决了上面提到的问题,一旦用户遇到需要添加的受信任站点,就可以手动在自己电脑上添加,也不会影响到其它人。这就是首选项的目的,但是这样做了之后,发现只能是针对于域用户应用,即是说,组策略只能链接到用户OU,并且客户端必须使用域用户登录到域,才能应用上策略,这样好也不好,好处是,可以通过这种方式,控制客户端使用域用户登录。不使用域用户登录,就不能完全访问公司的业务站点,坏处可能就是某些用户已经习惯了使用本地administrator登录,而且个人配置也都存储在本地administrator中,用户可能回并不愿意切换到域用户登录,到后来增加的还是IT人员的工作量,但是如果一定要实现这条组策略,而且客户端还需要使用本地administrator登录,也可以针对于计算机OU使用策略,然后使用环回处理,强制把用户配置覆盖掉或者合并,但是这样做会增加组策略的处理复杂性。所以通常能不用环回,尽量不要使用 把组策略搞的复杂。So,这也是一种折中的办法。

     

     接下来我们再来看看第三种办法,也是我认为较为合适的办法,这种办法是将首选项策略做在计算机配置下的首选项注册表中,即客户端只要加入到域的OU下,就可以应用到策略,用户可以自行添加修改,且无需用户必须使用域用户登录到域。


  •  首先清除掉之前用户配置首选项中的设置,避免冲突。然后打开组策略-计算机配置-首选项-Windows设置-注册表

wKiom1YWDReTtg_GAAHqaCQBD7w573.jpg

  • 编辑内容如下


  • 操作:更新

  • 配置单元:HKEY_LOCAL_MACHINE

  • 注册表项路径此处填写需要添加的站点

  • SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\*.zaj.com (此处可以填写* ,*即代表允许这个域名的所有主机名)

  • 值名称:http

  • 值类型:REG_DWORD

  • 数值数据:00000002 (注: 00000001 为Intranet区域 ,00000002 为受信任站点区域,00000003为Internet区域,00000004为受限制站点区域)

  • 基数:十六进制

wKioL1YWDS6CG469AAMS_fWUOjI138.jpg

  • 根据前面的说明,可以再添加一条https的默认值,加入到00000001本地Intranet区域。

wKiom1YWDRfAyQm4AAPyVxtqxeM261.jpg

  • 在首选项的设置中,有一项叫做 当不再应用项目时删除此项目。默认情况下,如果首选项应用到了客户端,某一天当组策略被删除掉了,客户端已经应用的首选项应该还在。当组策略首选项勾选了这个选项之后,当首选项不再应用的时候,会去清空客户端已经应用的首选项设置。

wKioL1YWDS7zDv0EAAQWDzEwGio883.jpg

  • 配置完成后,在客户端使用本地administrator登录,刷新一下组策略就可以看见已经成功应用的受信任站点

wKioL1YWDS6z0E6dAAR2eTSgMAU634.jpg

  • 客户端打开本地Intranet区域,可以看到https的网站也已经成功添加了进来,并且用户是可以自行手动添加删除的。

wKiom1YWDReiuAaXAAP7PH_TMPs852.jpg


        通过以上几个简单的验证,大家可以看到,其实通过组策略设置IE受信任站点有很多种办法,其实不止以上三种,还可以做成一个bat文件,让客户端登录时自动运行,或者通过IEAK做成一个msi的IE包,然后通过组策略统一推送给客户端。通过IEAK可以完成更多的IE企业集中设置。

        但是不论是那种办法,最终都是为了实现集中管理,易用的管理,所以根据实际的业务场景去思考问题很重要,也要结合用户体验,风险性,可行性去综合考虑。欢迎大家拍砖i_f01.gif



                                                                                                                    By 老王