В настоящее время мы используем следующую групповую политику для управления зонами безопасности Internet Explorer:
User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page
Затем установка Список назначений сайта в зону с различными значениями, используя следующую таблицу:
Value Setting ------------------------------ 0 My Computer 1 Local Intranet Zone 2 Trusted sites Zone 3 Internet Zone 4 Restricted Sites Zone
Это хорошо работает; тем не мение, пользователи не могут редактировать (или особенно добавлять) настройки своей зоны. Есть ли способ заблокировать настройки нашей настраиваемой зоны, но при этом дать пользователям возможность добавлять свои сайты в зоны безопасности?
Да, я осознаю небольшую угрозу безопасности, открывая это.
Нет собственного способа сделать это с помощью групповой политики.
Другие придут и предложат вам написать сценарий входа в систему для пользователей, чтобы установить для сайта назначение зон локально на машине, что по-прежнему позволит им добавлять / изменять сайты. Я считаю, что это действительно плохая идея.
Мы справляемся с этим, обращаясь в службу поддержки сайта / рабочего стола для выяснения проблемы, а затем отправляя нам заявку на добавление сайта. Мы по-прежнему контролируем ситуацию, потому что, как профессионалы, знаем, что лучше. Не пользователи.
Создает ли это дополнительные административные расходы? Да. Это меньше накладных расходов, чем вся дополнительная работа, необходимая для устранения инфекций и эпидемий в окружающей среде? Да.
То, как мы справляемся с этим сценарием, заключается в перемещении их тестовых компьютеров в OU Test Lab, создании и связывании GPO (который устанавливает только Site в список назначений зон) специально для этого OU и делегировать редактирование объекта групповой политики за этот объект групповой политики члену команды разработчиков / тестировщиков.
Затем они могут редактировать этот единственный объект групповой политики по своему усмотрению.
Не с помощью групповых политик, но есть способ Настройки групповой политики. Это новая функция, которую они представили в Windows 2008, и «новый способ» реализации групповых политик. Это позволяет вам предварительно заполнить ваших клиентов желаемыми конфигурациями, но по-прежнему дает им возможность добавлять и удалять. Он также может заменить большинство требований к сценарию входа в систему, ускоряя время входа в систему.
На самом деле вам не нужен домен 2008, чтобы использовать их, он будет работать с доменом 2003 или 2000. Вам просто нужно иметь компьютер 2008, Vista или Win 7, на котором можно создавать настройки групповой политики. Вам также необходимо, чтобы на ваших клиентах был установлен клиент предпочтений групповой политики.
Я нашел программу ZonedOut весьма полезной. Может быть, это поможет вам достичь того, что вам нужно. Вы можете установить и заблокировать обычный пользовательский интерфейс и использовать ZonedOut для добавления дополнительных URL-адресов.