使用域组策略设置IE受信任站点
1、 前言
为了配合企业办公应用系统的使用,常常需要统一对客户端某项设置进行调整,例如OA系统常需要客户端在IE浏览器中设置受信任站点,以下即演示如果通过域组策略统一调整IE受信任站点(注:此处演示环境 域控制器WindowsServer2008R2,客户端XPSP3);
2、 域控制器策略配置
1、 使用域管理员身份登录域控制器,单击 开始>管理工具>组策略管理;
2、 选项对应OU,右键新建GPO并编辑该GPO;
3、 依次点击选择 计算机配置>策略>管理模板:从本地计算机检索到的策略定义(ADMX文件)>Windows组件>InternetExplorer>Internet控制面板>安全页;双击右侧 站点到区域分配列表;
4、 在弹出的设置窗口勾选 已启用,并单击下方“显示”;
5、 在弹出的填写页面,左侧栏依次输入需要受信任站点的地址,例如此处的演示地址为http://www.google.com.hk,右侧填写值为2;填写完成后单击确定完成策略填写;
6、 点击 应用>确定 完成策略编辑;
3、 重启客户端验证结果;
重启客户端使用域账号登录客户端,打开IE浏览器,点击菜单栏 工具>Internet选项>安全>受信任站点>站点;
4、 通过注册表修改《对该区域中所有站点要求服务器验证(https://)》;
经查找,组策略中貌似没有该项的相应调整项目(若有前辈知道该项在组策略中的调整位置请指明,否则此处就是误导大家了),且该项默认是勾选的,若应用系统有相应需求要求不勾选该项,可以通过使用开机脚本来实现;
该项目的注册表文件对应为
[hkey_current_user\software\microsoft\windows\currentversion\internetsettings\Zones\2]下的flags项,该项键值为16进制43(10进制为67)表示不勾选,该项键值为16进制47(10进制71)表示勾选;
可以通过命令行来修改,将下面对应命令行输入记事本,保存为.bat或者NaNd在域组策略中使用开机脚本下方即可批量修改;
reg add"HKCU\Software\Microsoft\windows\currentversion\internetsettings\Zones\2" /v flags /t reg_DWORD /d 71 /f
//该行不复制,表示勾选(因为命令行修改默认为10进制,所以此处使用71);
reg add"HKCU\Software\Microsoft\windows\currentversion\internetsettings\Zones\2" /v flags /t reg_DWORD /d 67 /f
//该行不复制,表示不勾选(因为命令行修改默认为10进制,所以此处使用67);