Ondrej Sevecek's Blog

Klasický problém - chcete pomocí Group Policy (GPO) nastavit na nějaké počítače například seznam webů do Trusted Sites (důvěryhodné servery) nebo Local Intranet. Nebo byste chtěli, zvláště pro zónu Local Intranet (místní intranet) změnit ještě ta další zaškrtávátka, jako jsou tato:

• Automatically detect intranet network =  Automaticky zjišťovat intranetovou síť
• Include all local (intranet) sites not listed in other zones = Zahrnout všechny místní servery neuvedené v jiných zónách
• Include all sites that bypass the proxy server = Zahrnout všechny servery, které obcházejí server proxy
• Include all network paths (UNCs) = Zahrnout všechny síťové cesty (adresy URL)
• Require server verification (https:) for all sites in this zone = Požadovat ověření všech serverů v této zóně (https:)

Tohle všechno jde ovlivnit pomocí součásti Group Policy Object když rozkliknete:

 Policies
    Administrative Templates
        Windows Components
            Internet Explorer
                Internet Control Panel
                    Security Page

česky to je tady:

Šablony pro správu
    Součásti systému Windows
        Aplikace Internet Explorer
            Ovládací panel Možnosti Internetu
                Stránka zabezpečení

Taky se zde dají například přesně vyjmenovat weby, do které zóny patří. To zásada Site to zone assignment list (neboli česky Seznam zařazení serverů do zón).

Jenže si to potom už uživatel nemůže vůbec změnit

Ano. Tohle je součástí klasických Policies, takže GUI už potom neumožňuje uživatelům vůbec žádné změny. Ani si nemůžete přidat další weby do nějaké zóny. A to je škoda. Vcelku se dá přepdokládat, že chcete nějakou sajtu do zóny přidat. Ale proč bych nutně musel bránit lidem, přidávat si tam další?

Zadávejte to pomocí Preferences rovnou do registrů

Group Policy Preferences je věc, která vám z toho elegantně pomůže. Už jsem o tom tady několikrát psal (například tady, tady a tady taky). S Preferences je to úplná pohodička. Stačí příslušná nastavení udělat rovnou do registrů do klíče HKEY_CURRENT_USER (HKCU). Group Policy Preferences umožňují víc věcí.

Zaprvé umí to nastavení pouze přidat, takže to potom už neomezuje uživatele, kteří si mohou další zóny přidávat taky a nezmizí jim ty jejich původní. Druhá možnost je "Apply once and do not reapply", což znamená, že to dokonce uživatelům přednastavíte jen jednou a už pak na to nesaháte. Takže to může fungovat jen jako jakési výchozí doporučení, které si uživatel může úplně definitivně změnit, jakkoliv chce.

Všechno najdete tady:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

V klíči ZoneMap\Domains je vcelku logicky seznam sajt a jejich přiřazení do jednotlivých bezpečnostních zón. Jejich zadávání vypadá tak, že tam uděláte pod-klíč s názvem domény a vložíte do něho REG_DWORD hodnotu nazvanou buď * (hvězdička), nebo konkrétně podle protokolu, buď http, nebo https. Důležitá je potom její hodnota. Buď 1 jako zóna Local Intranet (místní intranet), nebo 2 jako zóna Trusted Sites (důvěryhodné servery). Jako například v následující tabulce:

Druhá věc jsou ta zaškrtávátka ve vlastnostech zón. Je to trošku složitější, protože jejich stavy jsou součástí pouze jedné registrové hodnoty Flags pro každou bezpečnostní zónu - prostě je to tam uloženo jako bitová maska. Neúplná dokumentace je například zde. Pro nás relevantní příznaky mají tyto ůhodnoty:

Takže moje oblíbené hodnoty pro Local Intranet (místní intranet - číslo 1) a Trusted Sites (důvěryhodné servery - číslo 2) jsou tyto: