Профиль | Отправить PM | Цитировать
Добрый утр / день / вечер.
Есть сервер. На нем развернут домен. Можно ли через Групповую Политику настроить надежные узлы?
Я нашел там путь:
Конфигурация пользователя / Конфигурация Windows / Настройка Internet Explorer / Безопасность -> Зоны безопасности и оценка содержимого.
тут можно только импортировать текущие параметры данного компьютера. Но, учитывая то что у разных групп пользователей в домене разные настройки, можно ли не изменять, а добавить новый надежный узел?
Или может можно как-нибудь через реестр провернуть данную процедуру?
Сообщения: 508
Благодарности: 23
Проблему решил следующим образом:
В реестре внес изменения:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\tural.kz\erpapprod.corp]
«http»=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
«CurrentLevel»=dword:00011000
Потом создал батник, который будет запускать этот reg-файл, и поместил его в автозагрузку в ГП:
Regedit /s C:\RegFile.reg
Работает в silent-режиме, и не мешает пользователю..
PS
можно конечно было сделть намного проще — написать скрипт, но в корпоративном дистрибутиве Винды в моей организации, скрипты не распознаются..
——-
Кофе или чай, в кружку накачай.
Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.
Сообщения: 18
Благодарности: 3
Сообщения: 1
Благодарности: 1
Для того чтобы у вас появилась возможность добавлять в такой список любые возможные сайты, нужно в диалоговом окне надежных сайтов снять флажок с опции «Для всех сайтов этой зоны требуется проверка серверов (https» (Require server verification (https for all sites in this zone). Поискав требуемый параметр политики среди административных шаблонов, вы обнаружите, что такового не существует и придется искать обходные пути. Одним из таких путей, естественно, является использование предпочтений групповой политики. Итак, выполняем следующие действия:
В уже открытой оснастке редактора управления групповыми политиками переходим к узлу Конфигурация пользователя\Настройка\Конфигурация Windows\Реестр (User Configuration\Preferences\Windows Settings\Registry) и создаем там новый элемент реестра;
Находясь в диалоговом окне создаваемого элемента предпочтения, оставляем установленное по умолчанию действие обновления и для куста HKEY_CURRENT_USER при помощи браузера элементов реестра переходим к разделу Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 и выбираем параметр Flags. В качестве значения этого параметра устанавливаем 00000043. Данное значение позволяет отключить соответствующий флажок. Если же вы хотите его включить, то укажите в качестве значения 00000047.
Системное администрирование
В своем блоге я размещаю статьи по администрированию сетей и прикладных программ, которые мне показались интересными или полезными, или уже оказались полезными для меня. Поскольку статьи я беру из разных источников (здесь представлены не только мои), авторство иногда установить очень сложно. Если Вы автор какой-то конкретной статьи и авторство (источник оригинала) у меня указано не правильно (или не указано), прошу сообщить об этом.
вторник, 17 июня 2014 г.
Настройка параметров IE через системный реестр
Итак, Microsoft активно начинает стимулировать к переходу с Windows XP на более поздние версии и с IE 7,8 на более поздние версии.
Я столкнулся на днях с такой проблемой: у моих пользователей неожиданно стала отпадывать галочка использования прокси — пропадает и все тут.
Стал копать этот вопрос, оказалось, что из ГП напрочь пропали параметры настройки IE. — те, которые были в Конфигурация пользователя — Политики — Конфигурация Windows.
Надо было как-то решать эту проблему.
Итак, облазив гулю, яну и т. д., опираясь на собственный опыт, я пришел к следующему:
Были рекомендации подправить шаблон, но это мне успеха не принесло, я решил действовать через реестр.
Итак, основные параметры:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
«ProxyEnable«=dword:00000001 — указание идти в интернет через прокси
«ProxyServer«=»proxy» — собственно, сами адреса прокси-серверов
«ProxyOverride«=»hosts; » — список хостов, на которые надо идти в обход прокси.
Это еще не все.
Есть такие сайты, которые надо занести обязательно в определенную зону, например в зону надежных узлов — сайты банковских систем (не редко они сами этого просят).
Эти узлы добавляются через ГП. Путь для русской редакции Windows 2008:
Конфигурация пользователя — Административные шаблоны — Компоненты Windows — Internet Explorer — Панель управления браузером — Вкладка «Безопасность» — Список назначений зоны для веб-сайтов.
Добавить их централизованно можно тоже через реестр:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey
«Сайт», REG_SZ:Zone
где «Сайт» — нужный сайт, REG_SZ — тип записи, Zone — номер зоны.
Дополнительную информацию по определению сайтов в зоны через реестр можно найти по адресу: http://support.microsoft.com/KB/182569
Свои проблемы, в итоге, я решил написанием небольшого скрипта, часть которого составил скрипт, приведенный выше:
‘ VBScript.
‘Скрипт настройки параметров
Set Sh = CreateObject(«WScript.Shell»)
key = «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\»
‘Включаем прокси
Sh.RegWrite key & «ProxyEnable», 1, «REG_DWORD»
‘Здесь указываем список хостов, на которые надо ходить НЕ через прокси. Параметр отвечает за установку галочки «Не использовать прокси-сервер для локальных адресов»
Sh.RegWrite key & «ProxyOverride», «192.168.*.*; «, «REG_SZ»
‘Указываем список своих прокси-серверов
Sh.RegWrite key & «ProxyServer», «http=»proxy:3128;https= proxy :3128;ftp= proxy :3128;socks= proxy :1080», «REG_SZ»
Sh.RegWrite key & «MigrateProxy», 1, «REG_DWORD»
Sh.RegWrite key & «EnableHttp1_1», 1, «REG_DWORD»
Sh.RegWrite key & «WarnOnIntranet», 1, «REG_DWORD»
Sh.RegWrite key & «User Agent», «Mozilla/4.0 (compatible; MSIE 8.0; Win32)», «REG_SZ»
key = «HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\»
Sh.RegWrite key & «Start Page», «http://www.yandex.ru/», «REG_SZ»
Sh.RegWrite key & «Start Page Redirect Cache», «http://www.yandex.ru/», «REG_SZ»
Sh.RegWrite key & «Search Page», «http://www.yandex.ru», «REG_SZ»
‘Убираем галку «Автоматическое определение параметров»
On Error Resume Next
‘Создаем константу для объекта HKEY_CURRENT_USER
Const HKCU = &H80000001
‘Define variables
Dim strComputer
Dim strRegistryKey
Dim objRegistry
Dim strRegistryValue
DIm binValue
strComputer = «.»
strRegistryKey = «Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections»
strRegistryValue = «DefaultConnectionSettings»
‘Connect to the Registry
Set objRegistry = GetObject(«winmgmts:\\» & strComputer & «\root\default:StdRegProv»)
‘Retrieve the current settings.
objRegistry.GetBinaryValue HKCU, strRegistryKey, strRegistryValue, binValue
‘Снять галку с ‘Automatically detect settings’
binValue(8) = 05
‘Раскомментировать строку ниже, чтобы выставить галку на ‘Automatically detect settings’
‘binValue(8) = 13
‘Save the changes
objRegistry.SetBinaryValue HKCU, strRegistryKey, strRegistryValue, binValue
Для этого скрипта я создал задание в планировщике. В качестве logon-скрипта он у меня отказался работать, а через планировщик отрабатывает нормально.
UPD:
После глубоких раскопок выяснилось следующее:
inkvizitor-windows.blogspot.com
А как вы определили, что адрес не прописывается? Наверное, посмотрели в свойствах IE -> вкладка Безопасность -> Надежные узлы? Там оно и не будет отображаться, если задано политикой (не знаю почему, но это так — во всяком случае, для IP-адресов).
Просто зайдите на этот адрес и убедитесь, что в правом нижнем углу IE галочка в зелененьком кружке и текст «Надежные узлы».
Последний раз редактировалось Petya V4sechkin, 15-02-2008 в 13:15 .
Сообщения: 788
Благодарности: 130
Поподробнее!
Лучше со скриншотом )
Описание политики читали?
Вдогонку:
А политика точно применяется?
Попробуйте gpupdate /force на клиентском компьютере
И перегрузиться!
——-
Сообщение помогло? Нажмите внизу ссылку «Полезное сообщение«.
Сообщения: 47990
Благодарности: 13572
GreenIce, еще посмотрите на клиенте Пуск -> Выполнить -> rsop.msc
И проверьте не только в Конфигурации компьютера, но и Конфигурации пользователя.
Да читал, только у меня руская версия. Адрес задавал именем или ip . На клиенте проверял gpresul политика применяется и прописывается в реестр.
Делал блокирование наследования всех политик и прописывал только эту. Не помогло. Скрикшот не могу я с телефона в интернете, безопасность не разрешает.
Да клиент на w2000sp4 ie6.1
в 2000 нет оснастки rsop.msc результирующую политику смотрел там все красиво прописывается только один параметр. только толку нет
——-
Это не ошибки, это промахи стилуса 🙂
Сообщения: 447
Благодарности: 17
Сообщения: 371
Благодарности: 24
forum.oszone.net
Надежные узлы реестр
К новому ноутбуку Fujitsu-Siemens (HDD 160 Gb) приложены 2 лицензионных диска — Vista Business и Windows XP.
Уже установлена Vista Business.
Имеется 2 логических диска. На второй хотелось бы установить Windows XP как альтернативно работающую (с выбором загрузки, зафиксированным, как и обычно в таких случаях, в файле BOOT.INI).
При попытке установки через «enter — Boot menu — выбор загрузки с CD/DVD Drive» идет сообщение о том, что операционная система Vista Business будет полностью утрачена. .
Как выполнить установку второй операционки?
Если невозможно поставить, не затирая Висту, то м.б. переустановить на XP, а уже потом вновь поставить Висту, как вторую систему?
Буду признателен за совет.
Zenn
Если вы еще не настраивали Висту, и у вас есть лишнее время, то честно слово — проще сначала установить XP, а потом Висту =) Также это лучше сделать в том случае, если у вас не достаточно опыта в работе с Windows. Но судя по тому, как вы оформили вопрос, это предположение к вам не относится. Так что давайте рассмотрим несколько способов, которые смогут вам помочь.
После того, как вы установите Windows XP на второй логический диск, ее загрузчик затрет загрузчик операционной системы Windows Vista. Поэтому нам, после установки Windows XP, достаточно восстановить загрузчик Windows Vista. А сделать это не сложно. Есть два способа:
1. Попробуйте загрузиться с установочного диска Windows Vista. В окне «Установка Windows» выберите ссылку «Восстановить систему», и когда отобразится мастер «System Recovery Options» (см. рис), выберите в нем ссылку Startup Repair. Существует доля вероятности, что после этого будет автоматически создано загрузочное меню Windows Vista и все опять станет хорошо.
2. В каталоге boot установочного диска Windows Vista должна быть программа bootsect.exe. Запустите Windows XP, вставьте в привод установочный диск Windows Vista, и воспользуйтесь следующим синтаксисом данной программы: bootsect.exe /NT60 .
С его помощью как раз и можно восстановить новое загрузочное меню Windows Vista. Параметры ALL (создать новое загрузочное меню во всех разделах диска), SYS (создать в системном разделе) или буква раздела диска определяют раздел диска, на котором необходимо создать новое загрузочное меню. Стоит попробовать создать загрузочного меню на том разделе, где у вас установлена Windows Vista, а лучше, на всех разделах. Благо, у вас их всего два.
Кстати, вместо опции /NT60 программы можно использовать опцию /LH. И еще кстати, эти строки я пишу по материалам одной из статей, опубликованных на нашем сайте =)
После того, как вы создадите загрузочное меню Windows Vista, у вас может возникнуть еще одна проблема – исчезнет возможность загрузки Windows XP. В таком случае нужно загрузить Windows Vista, и воспользоваться программой командной строки bcdedit.exe. А точнее следующим ее синтаксисом (следующий ее синтаксис описан в последней статье на нашем сайте =)):
Если по каким-то причинам в загрузочное меню Windows Vista не входит пункт запуска загрузчика прежних версий Windows, добавить данный пункт можно с помощью следующих команд.
bcdedit /create /d «Загрузчик ОС прежних версий»
bcdedit /set device partition :
bcdedit /set path tldr
bcdedit /displayorder /addlast
Но и это еще не все. Может так получиться, что после создания загрузочного меню Windows Vista у вас не будет загружаться ни Windows XP, ни Windows Vista. В таком случае нужно опять отобразить мастер «System Recovery Options» (рисунок выше) и выбрать ссылку Startup Repair. А если это не поможет, тогда придется запустить из этого же мастера командную строку и воспользоваться программой bcdedit.exe для корректного редактирования загрузочного меню. Ну, и в самом крайнем случае, можно воспользоваться синтаксисом bootsect.exe /NT52 . Он удаляет новое загрузочное меню Windows Vista и переходит к загрузочному меню на основе файла boot.ini.
Знаете дополнительные способы решения возникших проблем или обнаружили ошибки в ответах? Напишите об этом на форуме. А если перед этим вы зарегистрируетесь, тогда дополнительный заработок в период Мирового Кризиса вам гарантирован!
Зоны безопасности представляют собой определенный набор настроек, которые применяются к сайтам, входящим в эту зону безопасности.
Стандартные зоны безопасности
По умолчанию браузер Internet Explorer поддерживает пять зон безопасности.
Интернет К данной зоне относятся все веб-страницы, которые не относятся ни к одной из зон безопасности, описанных ниже.
По умолчанию для данной зоны используется уровень безопасности ВЫШЕ СРЕДНЕГО.
Местная интрасеть По умолчанию к данной зоне относятся все веб-страницы, доступ к которым был получен без использования прокси-сервера; веб-страницы, в адресе которых нет точек (например, http://local); а также те страницы, которые были загружены при помощи адресов UNC. Однако вы самостоятельно можете изменить настройки определения веб-страниц, относящихся к зоне местной интрасети.
Для этого достаточно воспользоваться диалогом МЕСТНАЯ ИНТРАСЕТЬ. Данный диалог отображается после выбора зоны МЕСТНАЯ ИНТРАСЕТЬ на вкладке БЕЗОПАСНОСТЬ диалога СВОЙСТВА: ИНТЕРНЕТ, и нажатия на кнопку УЗЛЫ.
Элементы данного диалога изменяют значения параметров REG_DWORD типа ветви реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap.
- IntranetName. Если значение данного параметра равно 1, тогда все локальные веб-узлы (не содержащие в своем составе точки), не сопоставленные ни с одной из зон безопасности, будут отнесены к зоне интрасети.
- ProxyByPass. Если значение данного параметра равно 1, тогда все веб-узлы, подключенные в обход прокси-сервера, будут относиться к зоне интрасети.
- UNCAsIntranet. Если значение данного параметра равно 1, тогда все адреса URL, представляющие сетевой путь, будут относиться к зоне интрасети.
- AutoDetect. Если значение данного параметра равно 1, тогда автоматическое обнаружение веб-узлов интрасети будет использоваться. То есть, значения всех описанных выше параметров действовать не будут.
- MinLevel. Данный параметр определяет минимальный уровень для зоны безопасности.
- RecommendedLevel. Данный параметр определяет рекомендуемый уровень для зоны безопасности. То есть, тот уровень, который будет отображаться после нажатия на кнопку ПО УМОЛЧАНИЮ, расположенную на вкладке БЕЗОПАСНОСТЬ диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ.
- 0х00012000 — определяет уровень ВЫСОКИЙ.
- 0х00010000 — определяет уровень НИЗКИЙ.
- 0х00011000 — определяет уровень СРЕДНИЙ.
- 0х00010500 — определяет уровень НИЖЕ СРЕДНЕГО.
- 0х00011500 — определяет уровень ВЫШЕ СРЕДНЕГО.
- 0x1. Разрешить изменение параметров безопасности.
- 0x2. Разрешить добавление узлов к данной зоне.
- 0x4. Для добавления к зоне требуются проверенные узлы (протокол https).
- 0x8. Включить узлы, обходящие прокси-сервер.
- 0x10. Включить в данную зону узлы, не перечисленные в других зонах.
- 0x20. Не показывать данную зону безопасности в свойствах обозревателя. Именно с помощью данного флага зона безопасности МОЙ КОМПЬЮТЕР не отображается на вкладке БЕЗОПАСНОСТЬ диалога СВОЙСТВА: ИНТЕРНЕТ.
- 0x40. Показывать диалоговое окно ТРЕБУЕТСЯ ПРОВЕРКА СЕРВЕРА.
- 0x80. Считать подключения UNC подключениями интрасети.
- Как посредством GPO заставить определенный ярлык открыться в определенном браузере;
- Как в браузер IE при помощи GPO добавить адреса в Надежные узлы.
- В оснастке «Управление групповой политикой» (Group Policy Management) создайте или воспользуйтесь существующим объектом групповой политики (например, пусть это будет объект «IE Settings») и свяжите его с необходимым подразделением. После этого выделите такой объект и из контекстного меню откройте редактор управления групповыми политиками;
- Находясь в самой оснастке, перейдите к узлу Конфигурация пользователя\Настройка\Конфигурация Windows\Ярлыки (User Configuration\Preferences\Windows Settings\Shortcuts) и создайте новый элемент предпочтения;
-
В диалоговом окне новых свойств ярлыка выберите действие «Создать». В качестве имени ярлыка можно указать что угодно, например, «Web Site Shortcut», а из раскрывающихся списков «Тип объекта» и «Размещение» (Target TypeиLocation) выберите «Объект файловой системы» (File System Object) и «Рабочий стол» (Desktop). Теперь самое интересное: чтобы сайт можно было открыть при помощи конкретного браузера (несмотря на то, что при создании ярлыков вручную вам нужно указать в текстовом поле «Объект» путь к браузеру, заключенный в кавычки с УРЛ-ом самого сайта, то есть «C:\Program Files\Internet Explorer\iexplore.exe»http://gpo-planet.com), в качестве конечного пути (Target Path) элемента предпочтения нужно будет указать путь к самому браузеру, а в текстовом поле «Аргументы» (Arguments) уже ввести адрес сайта. Все остальные опции этого диалогового окна необязательны. То есть, если вы хотите добавить комментарий – пожалуйста, для этого есть текстовое поле «Комментарий» (Comment). Нужно указать комбинацию клавиш для открытия этого ярлыка? Укажите ее в текстовом поле «Быстрый вызов» (Shortcut key). А если нужно изменить внешний вид самого ярлыка (скорее всего, это неплохая идея, так как в противном случае ярлык будет ну очень похож на обычный ярлык IE), укажите путь к картинке в текстовом поле «Путь к файлу значка» (Icon file path). Диалоговое окно создаваемого элемента предпочтения изображено на следующей иллюстрации:
Рис. 1. Создание элемента предпочтения ярлыка
- При желании можете настроить нацеливание на уровень элемента и сохранить внесенные изменения в элемент предпочтения ярлыка.
Также значения параметров IntranetName, ProxyByPass и UNCAsIntranet можно изменить при помощи ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap.
Также в данной ветви реестра может находиться дочерний подраздел ZoneMapKey. С помощью параметров строкового типа данного подраздела можно сопоставить определенные веб-узлы зонам безопасности. Название параметра определяет название сайта. А значение определяет номер зоны безопасности: 1 (зона интрасети), 2 (зона надежных узлов), 4 (зона ограниченных веб-узлов).
Также обратите внимание на кнопку ДОПОЛНИТЕЛЬНО диалога МЕСТНАЯ ИНТРАСЕТЬ. После нажатия на данную кнопку отобразится диалог, с помощью которого можно самостоятельно ввести адреса веб-страниц, которые будут относиться в зоне местной интрасети.
Все страницы, определенные с помощью данного диалога, заносятся в подразделы ветви HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains. При этом в подразделе веб-страницы создается параметр REG_DWORD типа http или https (в зависимости от того, какой протокол используется для подключения к данной веб-странице) и ему присваивается значение 1.
Также существует возможность указания стандартной зоны безопасности для отдельного протокола Интернет. Для этого достаточно воспользоваться параметрами REG_DWORD типа, расположенными в ветви реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults. Названия этих параметров определяют название протокола. А значение параметра определяют номер стандартной зоны безопасности. Например, для зоны местной интрасети это номер 1.
Кроме того, можно указать стандартную зону безопасности для диапазона IP-адресов. Для этого нужно воспользоваться подразделами ветви реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges.
По умолчанию для данной зоны используется уровень безопасности НИЖЕ СРЕДНЕГО.
Надежные узлы К данной зоне относятся все веб-страницы, которые были добавлены пользователем в список надежных узлов.
Чтобы добавить веб-страницу к списку надежных веб-узлов, достаточно воспользоваться диалогом, который отображается после нажатия на кнопку УЗЛЫ, если выбрана зона надежных узлов. Данная кнопка отображается на вкладке БЕЗОПАСНОСТЬ диалога СВОЙСТВА: ИНТЕРНЕТ.
Все страницы, определенные с помощью данного диалога, заносятся в подразделы ветви HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains. При этом в подразделе веб-страницы создается параметр REG_DWORD типа http или https (в зависимости от того, какой протокол используется для подключения к данной веб-странице) и ему присваивается значение 2.
По умолчанию для данной зоны используется уровень безопасности СРЕДНИЙ.
Ограниченные узлы К данной зоне относятся все веб-страницы, которые были добавлены пользователем в список ограниченных узлов.
Чтобы добавить веб-страницу к списку ограниченных веб-узлов, достаточно воспользоваться диалогом, который отображается после нажатия на кнопку УЗЛЫ, если выбрана зона ограниченных узлов. Данная кнопка отображается на вкладке БЕЗОПАСНОСТЬ диалога СВОЙСТВА: ИНТЕРНЕТ.
Все страницы, определенные с помощью данного диалога, заносятся в подразделы ветви HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains. При этом в подразделе веб-страницы создается параметр REG_DWORD типа http или https (в зависимости от того, какой протокол используется для подключения к данной веб-странице) и ему присваивается значение 4.
По умолчанию для данной зоны используется уровень безопасности ВЫСОКИЙ.
Мой компьютер К данной зоне относятся все веб-страницы, которые хранятся на локальном компьютере. Настройки данной зоны является наименее ограниченными.
Настройки данной зоны можно изменить только при помощи реестра или сторонних программ — браузер Internet Explorer не поддерживает настройку этой зоны.
Кроме того, настройки браузера Internet Explorer могут находиться в параметрах REG_DWORD типа, расположенных в подразделах ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings.
Security_HKLM_only. Если значение данного параметра равно 1, тогда браузер будет использовать настройки зон безопасности, определенные только на уровне ветвей реестра корневого раздела HKLM.
Security_options_edit. Если значение данного параметра равно 1, тогда пользователям будет запрещено изменять настройки работы зон безопасности.
Security_zones_map_edit. Если значение данного параметра равно 1, тогда пользователям будет запрещено добавлять или удалять узлы, расположенные в зонах безопасности.
WarnOnIntranet. Если значение данного параметра равно 0, тогда уведомления панели информации не будут появляться при загрузке пользователями содержимого с узла интрасети, который считается расположенным в зоне Интернет.
Вы можете ограничить объем памяти (в Кбайт), которую узел может использовать для своих нужд, в зависимости от зоны безопасности, в которой данный узел находится. Для этого достаточно воспользоваться параметрами REG_DWORD типа DocumentLimit и DomainLimit, расположенными в ветви реестра вида HKCU\Software\Policies\Microsoft\Internet Explorer\Persistence\«номер зоны безопасности от 0 до 4». Первый из этих параметров определяет объем памяти, выделяемый на один документ, а второй — на весь домен.
Уровни зон безопасности
Каждой зоне безопасности можно присвоить определенный уровень: ВЫСОКИЙ, НИЗКИЙ, СРЕДНИЙ, НИЖЕ СРЕДНЕГО, ВЫШЕ СРЕДНЕГО. В зависимости от уровня зоны безопасности определенным образом изменяются значения параметров зоны безопасности.
Значения, которые присваиваются параметрам зоны безопасности при установке определенного уровня, хранятся в ветви реестра формата HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\TemplatePolicies\«уровень».
Минимальный уровень зон безопасности
Зоны безопасности браузера Internet Explorer 7 защищены от установки потенциально опасного уровня зоны. Например, для зоны ИНТЕРНЕТ запрещено устанавливать уровни НИЖЕ СРЕДНЕГО и СРЕДНИЙ.
Минимальный уровень зоны безопасности также изменяется при помощи реестра. Для этого используются два параметра REG_DWORD типа ветви реестра вида HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\«номер зоны безопасности». Где номер зоны может принимать следующие значения: 0 (зона КОМПЬЮТЕР), 1 (зона МЕСТНАЯ ИНТРАСЕТЬ), 2 (зона НАДЕЖНЫЕ УЗЛЫ), 3 (зона ИНТЕРНЕТ), 4 (зона ОГРАНИЧЕННЫЕ УЗЛЫ).
Идентификаторы зон безопасности Значения этих параметров должны содержать в себе идентификатор уровня зоны безопасности. Например, по умолчанию используются следующие идентификаторы уровня.
Возможные идентификаторы уровня хранятся в ветви реестра формата HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\TemplatePolicies\«уровень». Для этого в данной ветви присутствует параметр REG_DWORD типа TemplateIndex.
Флаги зоны безопасности
Также в ветви реестра вида HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\«номер зоны безопасности» присутствует параметр REG_DWORD типа Flags. Данный параметр является битовой маской и позволяет определить возможности пользователя по изменению зоны безопасности.
subscribe.ru
Совет недели (2014-05-4): Надежные сайты, открытие ярлыка в конкретном браузере и GPO
Вот и настала снова пятница, и я хотел бы рассказать вам об очередных параметрах, которые можно настраивать средствами групповой политики. Буквально пару дней назад мне задали два вопроса по настройке браузера Internet Explorer. По настройкам IE в моем блоге было уже довольно много статей (можно взять хотя бы для примера небольшой цикл статей, посвященных параметрам безопасности Internet Explorer или статью по настройке этого браузера средствами функциональных возможностей предпочтений групповой политики из соответствующего цикла), но всегда можно найти какие-то новые параметры или опции, настройку которых хотелось бы автоматизировать.
О нескольких параметрах, которые не рассматривались ранее в моих статьях, здесь и пойдет речь. Так о чем же именно вы узнаете из этого небольшого совета недели?
Как я уже упомянул выше, вопросов по настройке Internet Explorer было два, а именно:
Рассмотрим их по порядку.
Открытие ярлыка с веб-страницей в определенном браузере
Прежде всего зададимся вопросом: для чего это нужно? Существует много сайтов и служб, для полноценной работы которых настраивается сквозная аутентификация. Как следствие, такие сайты будут нормально функционировать только в Internet Explorer. А если пользователям предоставить много свободы, то в компании может быть целый «палисадник» браузеров, установленных по умолчанию. В результате, у одного пользователя сайт будет функционировать должным образом, а второй при работе будет испытывать трудности. Следовательно, чтобы не возникало подобных проблем, нужно создать на рабочих столах пользователей ярлыки таким образом, чтобы они запускались исключительно средствами Internet Explorer. Как это можно реализовать:
Добавление новых адресов в «Надежные сайты»
Добавлять сайты в зону надежных сайтов – стандартная практика, так как к таким сайтам относятся те адреса, в которых вы уверены на 100% и знаете, что они не принесут вам никакого вреда. Но сейчас не об этом. В этом разделе статьи я вам расскажу о том, каким образом можно добавлять любые сайты в список надежных. Однако стоит обратить внимание на то, что изначально в такой список вы можете добавлять только https-сайты. Для того чтобы у вас появилась возможность добавлять в такой список любые возможные сайты, нужно в диалоговом окне надежных сайтов снять флажок с опции «Для всех сайтов этой зоны требуется проверка серверов (https:)» (Require server verification (https:) for all sites in this zone). Поискав требуемый параметр политики среди административных шаблонов, вы обнаружите, что такового не существует и придется искать обходные пути. Одним из таких путей, естественно, является использование предпочтений групповой политики. Итак, выполняем следующие действия:
- В уже открытой оснастке редактора управления групповыми политиками переходим к узлу Конфигурация пользователя\Настройка\Конфигурация Windows\Реестр (User Configuration\Preferences\Windows Settings\Registry) и создаем там новый элемент реестра;
- Находясь в диалоговом окне создаваемого элемента предпочтения, оставляем установленное по умолчанию действие обновления и для куста HKEY_CURRENT_USER при помощи браузера элементов реестра переходим к разделу Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 и выбираем параметр Flags. В качестве значения этого параметра устанавливаем 00000043. Данное значение позволяет отключить соответствующий флажок. Если же вы хотите его включить, то укажите в качестве значения 00000047. Диалоговое окно данного элемента предпочтения изображено ниже:
Рис. 2. Создаваемый элемент предпочтения реестра
Теперь осталось добавить требуемые сайты в список надежных. С этой настройкой все намного проще, так как соответствующий параметр политики вы можете найти среди существующих административных шаблонов. Для этого вам следует перейти к узлу Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Internet Explorer\Параметры управления браузером\Вкладка «Безопасность» (User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\”Security” Page) и открыть диалоговое окно свойств параметра политики «Список назначений зоны для веб-сайтов» (Site to zone assignment list).
Как видно на следующей иллюстрации, в отобразившемся диалоговом окне вам следует установить переключатель на опцию «Включено» (Enabled), а затем нажать на кнопку «Показать» (Show). После этого в окне вывода содержимого вам нужно в столбце «Имя значения» (Value name) ввести URL-адрес надежного сайта, а в столбце «Значение» (Value) – идентификатор зоны. Как можно заметить в описании данного параметра политики, значения указываются от 1 до 4, где 1 будет зоной интрасети, 2 – зоной надежных сайтов, в качестве значения 3 выступает зона Интернета, а 4 – зона ограниченных сайтов. То есть в данном примере следует указать значение 2:
Рис. 3. Определение сайтов для зоны «надежные сайты»
После обновления параметров политики на целевом клиенте вы заметите, что соответствующий флажок в диалоговом окне надежных сайтов будет снят и у вас уже будет заполнен список надежных сайтов без возможности добавления последних, а на рабочем столе будет фигурировать ярлык для сайта, который будет открываться исключительно в браузере Internet Explorer. Следовательно, все действия были выполнены правильно и у нас все получилось
Рис. 4. Диалоговое окно надежных сайтов Internet Explorer
Заключение
В этой небольшой статье я рассказал вам о паре настроек браузера Internet Explorer, которые вы можете изменить средствами функциональных возможностей групповой политики, причем как при помощи предустановленных административных шаблонов, так и методом создания отдельных элементов предпочтений GPO. Было рассмотрено создание на рабочем столе нового ярлыка с URL-адресом, который будет открываться исключительно при помощи определенного браузера, а также рассматривалась генерация списка надежных сайтов с возможностью добавления не только https-, но и http-сайтов. До встреч!
gpo-planet.com