浅谈组策略设置IE受信任站点

       在企业中，通常会有一些业务系统，要求必须加入到客户端IE受信任站点，才能完全正常运行访问，在没有域的情况下，可能要通过管理员手动设置，或者通过其它网络推送方法来设置。

      有了域之后，这项工作就可以很好的通过组策略来统一完成，管理员可以在AD里面专门定义一条用于IE设置的组策略，来集中管理客户端的IE设置，那么这条组策略应该如何设置，其实有很多种办法，今天笔者提取其中三条比较常见的场景来和各位看官进行讨论。

• 首先，最常见的肯定就是这条了，在计算机配置 - 管理模板 - Windows组件 - Internet控制面板中，有一项站点到区域分配列表 如下
  

• 在站点到区域分配列表中，可以根据策略设置的提示来完成网站的添加，如下图所示。
  

• 设置完成后，等待90-120分钟后，客户端即可自动应用，此处我们使用gpupdate /force，强制在客户端上进行刷新，注意，此条策略是计算机配置策略，所以链接到的OU下，一定要是计算机对象才可以

• 在客户端运行组策略刷新之后，打开控制面板-Intranet选项，本地Intranet-高级，即可看到在组策略中，设置的选项已经成功应用到了客户端。

• 打开控制面板-Internet选项-安全-可信站点，可以看到，受信任站点也已经顺利的添加了进来。
  

    通过上述的操作设置，已经可以成功让客户端计算机应用到IE设置组策略，这种方法的好处就是可以通过组策略统一设置，但是也有不好的一点，就是客户端不能够手动添加受信任站点，例如用户需要使用某些网银，需要添加银行站点到受信任区域，用户就不能手动的进行添加了。只能是管理员统一在域控制器组策略上统一设置，这种办法实现出来就是，IE设置完全交由管理员统一设置，从安全角度来讲，也避免了用户误操作，误添加受信任站点的风险。

• 接下来再看另外一种办法，首先去掉之前设置的组策略，避免冲突。
  

• 打开组策略-用户配置-注册表，配置内容如下

• 操作：更新

• 配置单元：HKEY_CURRENT_USER

• 注册表项路径（此处填写需要添加的站点）：

• Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\superdream.com\www

• 值名称：http（可以填写http or https）

• 值类型：REG_DWORD

• 数值数据：00000002 （注： 00000001 为Intranet区域 ，00000002 为受信任站点区域，00000003为Internet区域，00000004为受限制站点区域）

• 基数：十六进制

• 注意，这是一条用户配置策略，所以要确保策略链接到的组织单位内有用户，策略才会生效。

• 首先，在已加入域的机器上，以本地administrator登录，然后刷新组策略
  

• 可以看到，之前配置的站点分配列表已经清空，但是新配置的首选项却并未生效，Why？
  

• 切换成域用户登录试试看
  

• 发现首选项已经成功的应用上了，并且用户是可以手动修改的。
  

• 再次切换回本地administrator登录，发现策略又失效了，Why？
  

      通过上述的设置，我们可以看出，通过用户首选项可以实现，为用户提供一个默认值，但是用户是可以修改的。这样就解决了上面提到的问题，一旦用户遇到需要添加的受信任站点，就可以手动在自己电脑上添加，也不会影响到其它人。这就是首选项的目的，但是这样做了之后，发现只能是针对于域用户应用，即是说，组策略只能链接到用户OU，并且客户端必须使用域用户登录到域，才能应用上策略，这样好也不好，好处是，可以通过这种方式，控制客户端使用域用户登录。不使用域用户登录，就不能完全访问公司的业务站点，坏处可能就是某些用户已经习惯了使用本地administrator登录，而且个人配置也都存储在本地administrator中，用户可能回并不愿意切换到域用户登录，到后来增加的还是IT人员的工作量，但是如果一定要实现这条组策略，而且客户端还需要使用本地administrator登录，也可以针对于计算机OU使用策略，然后使用环回处理，强制把用户配置覆盖掉或者合并，但是这样做会增加组策略的处理复杂性。所以通常能不用环回，尽量不要使用 把组策略搞的复杂。So，这也是一种折中的办法。

•  首先清除掉之前用户配置首选项中的设置，避免冲突。然后打开组策略-计算机配置-首选项-Windows设置-注册表

• 编辑内容如下

• 操作：更新

• 配置单元：HKEY_LOCAL_MACHINE

• 注册表项路径（此处填写需要添加的站点）：

• SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\*.zaj.com （此处可以填写* ，*即代表允许这个域名的所有主机名)

• 值名称：http

• 值类型：REG_DWORD

• 数值数据：00000002 （注： 00000001 为Intranet区域 ，00000002 为受信任站点区域，00000003为Internet区域，00000004为受限制站点区域）

• 基数：十六进制

• 根据前面的说明，可以再添加一条https的默认值，加入到00000001本地Intranet区域。
  

• 在首选项的设置中，有一项叫做 当不再应用项目时删除此项目。默认情况下，如果首选项应用到了客户端，某一天当组策略被删除掉了，客户端已经应用的首选项应该还在。当组策略首选项勾选了这个选项之后，当首选项不再应用的时候，会去清空客户端已经应用的首选项设置。
  

• 配置完成后，在客户端使用本地administrator登录，刷新一下组策略就可以看见已经成功应用的受信任站点，并且用户是可以手动添加修改的，而且也无需必须使用域用户登录
  

• 客户端打开本地Intranet区域，可以看到https的网站也已经成功添加了进来，并且用户是可以自行手动添加删除的。
  

        通过以上几个简单的验证，大家可以看到，其实通过组策略设置IE受信任站点有很多种办法，其实不止以上三种，还可以做成一个bat文件，让客户端登录时自动运行，或者通过IEAK做成一个msi的IE包，然后通过组策略统一推送给客户端。通过IEAK可以完成更多的IE企业集中设置。

        但是不论是那种办法，最终都是为了实现集中管理，易用的管理，所以根据实际的业务场景去思考问题很重要，也要结合用户体验，风险性，可行性去综合考虑。欢迎大家拍砖

                                                                                                                    By 老王

本文出自 “一个倔强的孤岛” 博客，请务必保留此出处http://wzde2012.blog.51cto.com/6474289/1700868