Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Jak nastavovat zóny v Internet Explorer pomocí Group Policy
duben 25
Jak nastavovat zóny v Internet Explorer pomocí Group Policy

Klasický problém - chcete pomocí Group Policy (GPO) nastavit na nějaké počítače například seznam webů do Trusted Sites (důvěryhodné servery) nebo Local Intranet. Nebo byste chtěli, zvláště pro zónu Local Intranet (místní intranet) změnit ještě ta další zaškrtávátka, jako jsou tato:

  • Automatically detect intranet network =  Automaticky zjišťovat intranetovou síť
  • Include all local (intranet) sites not listed in other zones = Zahrnout všechny místní servery neuvedené v jiných zónách
  • Include all sites that bypass the proxy server = Zahrnout všechny servery, které obcházejí server proxy
  • Include all network paths (UNCs) = Zahrnout všechny síťové cesty (adresy URL)
  • Require server verification (https:) for all sites in this zone = Požadovat ověření všech serverů v této zóně (https:)

Tohle všechno jde ovlivnit pomocí součásti Group Policy Object když rozkliknete:

 Policies
    Administrative Templates
        Windows Components
            Internet Explorer
                Internet Control Panel
                    Security Page

česky to je tady:

Šablony pro správu
    Součásti systému Windows
        Aplikace Internet Explorer
            Ovládací panel Možnosti Internetu
                Stránka zabezpečení

Taky se zde dají například přesně vyjmenovat weby, do které zóny patří. To zásada Site to zone assignment list (neboli česky Seznam zařazení serverů do zón).

Jenže si to potom už uživatel nemůže vůbec změnit

Ano. Tohle je součástí klasických Policies, takže GUI už potom neumožňuje uživatelům vůbec žádné změny. Ani si nemůžete přidat další weby do nějaké zóny. A to je škoda. Vcelku se dá přepdokládat, že chcete nějakou sajtu do zóny přidat. Ale proč bych nutně musel bránit lidem, přidávat si tam další?

Zadávejte to pomocí Preferences rovnou do registrů

Group Policy Preferences je věc, která vám z toho elegantně pomůže. Už jsem o tom tady několikrát psal (například tady, tady a tady taky). S Preferences je to úplná pohodička. Stačí příslušná nastavení udělat rovnou do registrů do klíče HKEY_CURRENT_USER (HKCU). Group Policy Preferences umožňují víc věcí.

Zaprvé umí to nastavení pouze přidat, takže to potom už neomezuje uživatele, kteří si mohou další zóny přidávat taky a nezmizí jim ty jejich původní. Druhá možnost je "Apply once and do not reapply", což znamená, že to dokonce uživatelům přednastavíte jen jednou a už pak na to nesaháte. Takže to může fungovat jen jako jakési výchozí doporučení, které si uživatel může úplně definitivně změnit, jakkoliv chce.

Všechno najdete tady:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

V klíči ZoneMap\Domains je vcelku logicky seznam sajt a jejich přiřazení do jednotlivých bezpečnostních zón. Jejich zadávání vypadá tak, že tam uděláte pod-klíč s názvem domény a vložíte do něho REG_DWORD hodnotu nazvanou buď * (hvězdička), nebo konkrétně podle protokolu, buď http, nebo https. Důležitá je potom její hodnota. Buď 1 jako zóna Local Intranet (místní intranet), nebo 2 jako zóna Trusted Sites (důvěryhodné servery). Jako například v následující tabulce:

Hive Klíč Název hodnoty Typ Hodnota
HKCU Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gopas.cz * DWORD 1
HKCU Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gopas.virtual * DWORD 1
HKCU Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoft.com * DWORD 2
HKCU Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sevecek.com https DWORD 2
HKCU Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sysinternals.com\live * DWORD 2

Druhá věc jsou ta zaškrtávátka ve vlastnostech zón. Je to trošku složitější, protože jejich stavy jsou součástí pouze jedné registrové hodnoty Flags pro každou bezpečnostní zónu - prostě je to tam uloženo jako bitová maska. Neúplná dokumentace je například zde. Pro nás relevantní příznaky mají tyto ůhodnoty:

Bit BitHex​ Anglicky Česky
1 ​01 uživatelé si mohou sami měnit bezpečnostní nastavení pro tuto zónu
2 ​02 uživatelé si mohou sami do zóny přidávat další weby
4 ​04 Require server verification (https:) for all sites in this zone Požadovat ověření všech serverů v této zóně (https:)
8 ​08 Include all sites that bypass the proxy server Zahrnout všechny servery, které obcházejí server proxy
16 ​10 Include all local (intranet) sites not listed in other zones Zahrnout všechny místní servery neuvedené v jiných zónách
32 ​20    
64 ​40 zobrazí vůbec zaškrtávátko ohledně bitu 4 - tedy jestli to musí být https: nebo ne
128 ​80 Include all network paths (UNCs) Zahrnout všechny síťové cesty (adresy URL)
256 ​100 Automatically detect intranet network Automaticky zjišťovat intranetovou síť

Takže moje oblíbené hodnoty pro Local Intranet (místní intranet - číslo 1) a Trusted Sites (důvěryhodné servery - číslo 2) jsou tyto:

Hive Klíč Název hodnoty Typ Hodnota Rozpis
HKCU Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 Flags DWORD 0xDB

​0x80
0x40
0x10
0x08
0x02
0x01

HKCU Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 Flags DWORD 0x43

​0x40
0x02
0x01

Comments

Re: Jak nastavovat zóny v Internet Explorer pomocí Group Policy

Skvěle. Existuje něco podobného i pro režimy kompatibility Internet Exploreru? Např. pokud mám v síti mnoho počítačů s WinXP a Win7, různými verzemi IE od 8 po 11, a vím, že některé intranetové weby potřebují pro fungování IE v režimu kompatibility IE10, jiné IE8 atd. Pokud tyhle weby natvrdo přidám do seznamu kompatibility, nefunguje to, protože v různých verzích IE se "kompatibilita" interpretuje jinak. Díky :)
nmss on 25.4.2014 14:01

Re: Jak nastavovat zóny v Internet Explorer pomocí Group Policy

no zdá se, že to nemůžu v registrech nikde najít. takže asi to nejde? :-( nevím.
ondass on 25.4.2014 14:16

Re: Jak nastavovat zóny v Internet Explorer pomocí Group Policy

Nastavenie prehliadaca pre kompabilitne zobrazovanie:
PONZ: IE10/11 tusim uz jednu polozku nema.

HKCU\Software\Microsoft\Internet Explorer\BrowserEmulation]
"AllSitesCompatibilityMode"=dword:00000001
"IntranetCompatibilityMode"=dword:00000001
"MSCompatibilityMode"=dword:000000001

Nastavenie zoznamu serverov, resp. domen:
POZN: Je to binarny text, nejde tam zadavat priamo nazvy, vyttvorim si vzor u seba a vyexportujem...

HKCU\Software\Microsoft\Internet Explorer\BrowserEmulation\ClearableListData
lupgo on 3.12.2014 19:47

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments