Klasický problém - chcete pomocí Group Policy (GPO) nastavit na nějaké počítače například seznam webů do Trusted Sites (důvěryhodné servery) nebo Local Intranet. Nebo byste chtěli, zvláště pro zónu Local Intranet (místní intranet) změnit ještě ta další zaškrtávátka, jako jsou tato:
- Automatically detect intranet network = Automaticky zjišťovat intranetovou síť
- Include all local (intranet) sites not listed in other zones = Zahrnout všechny místní servery neuvedené v jiných zónách
- Include all sites that bypass the proxy server = Zahrnout všechny servery, které obcházejí server proxy
- Include all network paths (UNCs) = Zahrnout všechny síťové cesty (adresy URL)
- Require server verification (https:) for all sites in this zone = Požadovat ověření všech serverů v této zóně (https:)
Tohle všechno jde ovlivnit pomocí součásti Group Policy Object když rozkliknete:
Policies
Administrative Templates
Windows Components
Internet Explorer
Internet Control Panel
Security Page
česky to je tady:
Šablony pro správu
Součásti systému Windows
Aplikace Internet Explorer
Ovládací panel Možnosti Internetu
Stránka zabezpečení
Taky se zde dají například přesně vyjmenovat weby, do které zóny patří. To zásada Site to zone assignment list (neboli česky Seznam zařazení serverů do zón).
Jenže si to potom už uživatel nemůže vůbec změnit
Ano. Tohle je součástí klasických Policies, takže GUI už potom neumožňuje uživatelům vůbec žádné změny. Ani si nemůžete přidat další weby do nějaké zóny. A to je škoda. Vcelku se dá přepdokládat, že chcete nějakou sajtu do zóny přidat. Ale proč bych nutně musel bránit lidem, přidávat si tam další?
Zadávejte to pomocí Preferences rovnou do registrů
Group Policy Preferences je věc, která vám z toho elegantně pomůže. Už jsem o tom tady několikrát psal (například tady, tady a tady taky). S Preferences je to úplná pohodička. Stačí příslušná nastavení udělat rovnou do registrů do klíče HKEY_CURRENT_USER (HKCU). Group Policy Preferences umožňují víc věcí.
Zaprvé umí to nastavení pouze přidat, takže to potom už neomezuje uživatele, kteří si mohou další zóny přidávat taky a nezmizí jim ty jejich původní. Druhá možnost je "Apply once and do not reapply", což znamená, že to dokonce uživatelům přednastavíte jen jednou a už pak na to nesaháte. Takže to může fungovat jen jako jakési výchozí doporučení, které si uživatel může úplně definitivně změnit, jakkoliv chce.
Všechno najdete tady:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
V klíči ZoneMap\Domains je vcelku logicky seznam sajt a jejich přiřazení do jednotlivých bezpečnostních zón. Jejich zadávání vypadá tak, že tam uděláte pod-klíč s názvem domény a vložíte do něho REG_DWORD hodnotu nazvanou buď * (hvězdička), nebo konkrétně podle protokolu, buď http, nebo https. Důležitá je potom její hodnota. Buď 1 jako zóna Local Intranet (místní intranet), nebo 2 jako zóna Trusted Sites (důvěryhodné servery). Jako například v následující tabulce:
HKCU |
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gopas.cz |
* |
DWORD |
1 |
HKCU |
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gopas.virtual |
* |
DWORD |
1 |
HKCU |
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoft.com |
* |
DWORD |
2 |
HKCU |
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sevecek.com |
https |
DWORD |
2 |
HKCU |
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sysinternals.com\live |
* |
DWORD |
2 |
Druhá věc jsou ta zaškrtávátka ve vlastnostech zón. Je to trošku složitější, protože jejich stavy jsou součástí pouze jedné registrové hodnoty Flags pro každou bezpečnostní zónu - prostě je to tam uloženo jako bitová maska. Neúplná dokumentace je například zde. Pro nás relevantní příznaky mají tyto ůhodnoty:
1 |
01 |
uživatelé si mohou sami měnit bezpečnostní nastavení pro tuto zónu |
2 |
02 |
uživatelé si mohou sami do zóny přidávat další weby |
4 |
04 |
Require server verification (https:) for all sites in this zone |
Požadovat ověření všech serverů v této zóně (https:) |
8 |
08 |
Include all sites that bypass the proxy server |
Zahrnout všechny servery, které obcházejí server proxy |
16 |
10 |
Include all local (intranet) sites not listed in other zones |
Zahrnout všechny místní servery neuvedené v jiných zónách |
32 |
20 |
|
|
64 |
40 |
zobrazí vůbec zaškrtávátko ohledně bitu 4 - tedy jestli to musí být https: nebo ne |
128 |
80 |
Include all network paths (UNCs) |
Zahrnout všechny síťové cesty (adresy URL) |
256 |
100 |
Automatically detect intranet network |
Automaticky zjišťovat intranetovou síť |
Takže moje oblíbené hodnoty pro Local Intranet (místní intranet - číslo 1) a Trusted Sites (důvěryhodné servery - číslo 2) jsou tyto:
HKCU |
Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 |
Flags |
DWORD |
0xDB |
0x80 0x40 0x10 0x08 0x02 0x01 |
HKCU |
Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 |
Flags |
DWORD |
0x43 |
0x40 0x02 0x01 |