我们当前使用以下组策略来控制 Internet Explorer 安全区域:
用户配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页
Site to Zone Assignment List然后使用下表设置各种值:
值设定 ------------------------------ 0 我的电脑 1 个本地 Intranet 区域 2 受信任的站点区域 3 互联网区 4 限制站点区域
效果很好;然而,用户将无法编辑(尤其是添加)他们的区域设置。有没有办法锁定我们的自定义区域设置,同时仍让用户能够将自己的站点添加到安全区域?
是的,我确实意识到打开这个会存在一点安全风险。
答案1
没有本机方法可以通过组策略执行此操作。
其他人会建议你为用户编写一个登录脚本,以便在机器上本地将站点设置为区域分配,这样他们仍然可以添加/更改站点。我个人认为这是一个非常糟糕的主意。
我们通过让站点/桌面支持人员确定问题,然后向我们提交工单以添加站点来处理此问题。我们仍保留控制权,因为作为专业人士,我们知道什么是最好的。而不是用户。
它会产生一些额外的管理开销吗?是的。它比解决环境中的感染和爆发所需的所有额外工作开销要小吗?是的。
编辑以下评论:
我们处理这种情况的方法是将他们的测试 PC 移到测试实验室 OU,创建并链接到该 OU 的 GPO(仅将站点设置为区域分配列表),然后委派组策略对象编辑将该 GPO 提交给开发/质量保证团队的成员。
然后他们可以根据自己的喜好编辑该单个 GPO。
答案2
不能使用组策略,但有办法组策略首选项。这是 Windows 2008 引入的一项新功能,是执行组策略的“新方法”。它允许您使用所需的配置预先填充客户端,但仍允许他们自由添加和删除。它还可以取代您的大部分登录脚本要求,从而加快登录时间。
您实际上不需要 2008 域即可使用它们,它可以与 2003 或 2000 域一起使用。您只需要有一台 2008、Vista 或 Win 7 计算机来创建组策略首选项。您还需要在客户端上安装组策略首选项客户端。
答案3
我发现 ZonedOut 程序非常有用。也许它可以帮你完成需要做的事情。你可以设置和锁定常规 UI,然后使用 ZonedOut 继续添加其他 URL。