Совет недели (2014-05-4): Надежные сайты, открытие ярлыка в конкретном браузере и GPO

Вот и настала снова пятница, и я хотел бы рассказать вам об очередных параметрах, которые можно настраивать средствами групповой политики. Буквально пару дней назад мне задали два вопроса по настройке браузера Internet Explorer. По настройкам IE в моем блоге было уже довольно много статей (можно взять хотя бы для примера небольшой цикл статей, посвященных параметрам безопасности Internet Explorer или статью по настройке этого браузера средствами функциональных возможностей предпочтений групповой политики из соответствующего цикла), но всегда можно найти какие-то новые параметры или опции, настройку которых хотелось бы автоматизировать.

О нескольких параметрах, которые не рассматривались ранее в моих статьях, здесь и пойдет речь. Так о чем же именно вы узнаете из этого небольшого совета недели?

Как я уже упомянул выше, вопросов по настройке Internet Explorer было два, а именно:

  1. Как посредством GPO заставить определенный ярлык открыться в определенном браузере;
  2. Как в браузер IE при помощи GPO добавить адреса в Надежные узлы.

Рассмотрим их по порядку.

Открытие ярлыка с веб-страницей в определенном браузере

Прежде всего зададимся вопросом: для чего это нужно? Существует много сайтов и служб, для полноценной работы которых настраивается сквозная аутентификация. Как следствие, такие сайты будут нормально функционировать только в Internet Explorer. А если пользователям предоставить много свободы, то в компании может быть целый «палисадник» браузеров, установленных по умолчанию. В результате, у одного пользователя сайт будет функционировать должным образом, а второй при работе будет испытывать трудности. Следовательно, чтобы не возникало подобных проблем, нужно создать на рабочих столах пользователей ярлыки таким образом, чтобы они запускались исключительно средствами Internet Explorer. Как это можно реализовать:

  1. В оснастке «Управление групповой политикой» (Group Policy Management) создайте или воспользуйтесь существующим объектом групповой политики (например, пусть это будет объект «IE Settings») и свяжите его с необходимым подразделением. После этого выделите такой объект и из контекстного меню откройте редактор управления групповыми политиками;
  2. Находясь в самой оснастке, перейдите к узлу Конфигурация пользователя\Настройка\Конфигурация Windows\Ярлыки (User Configuration\Preferences\Windows Settings\Shortcuts) и создайте новый элемент предпочтения;
  3. В диалоговом окне новых свойств ярлыка выберите действие «Создать». В качестве имени ярлыка можно указать что угодно, например, «Web Site Shortcut», а из раскрывающихся списков «Тип объекта» и «Размещение» (Target Type и Location) выберите «Объект файловой системы» (File System Object) и «Рабочий стол» (Desktop). Теперь самое интересное: чтобы сайт можно было открыть при помощи конкретного браузера (несмотря на то, что при создании ярлыков вручную вам нужно указать в текстовом поле «Объект» путь к браузеру, заключенный в кавычки с УРЛ-ом самого сайта, то есть «C:\Program Files\Internet Explorer\iexplore.exe» http://gpo-planet.com), в качестве конечного пути (Target Path) элемента предпочтения нужно будет указать путь к самому браузеру, а в текстовом поле «Аргументы» (Arguments) уже ввести адрес сайта. Все остальные опции этого диалогового окна необязательны. То есть, если вы хотите добавить комментарий – пожалуйста, для этого есть текстовое поле «Комментарий» (Comment). Нужно указать комбинацию клавиш для открытия этого ярлыка? Укажите ее в текстовом поле «Быстрый вызов» (Shortcut key). А если нужно изменить внешний вид самого ярлыка (скорее всего, это неплохая идея, так как в противном случае ярлык будет ну очень похож на обычный ярлык IE), укажите путь к картинке в текстовом поле «Путь к файлу значка» (Icon file path). Диалоговое окно создаваемого элемента предпочтения изображено на следующей иллюстрации:

    Рис. 1. Создание элемента предпочтения ярлыка

    Рис. 1. Создание элемента предпочтения ярлыка

  4. При желании можете настроить нацеливание на уровень элемента и сохранить внесенные изменения в элемент предпочтения ярлыка.

Добавление новых адресов в «Надежные сайты»

Добавлять сайты в зону надежных сайтов – стандартная практика, так как к таким сайтам относятся те адреса, в которых вы уверены на 100% и знаете, что они не принесут вам никакого вреда. Но сейчас не об этом. В этом разделе статьи я вам расскажу о том, каким образом можно добавлять любые сайты в список надежных. Однако стоит обратить внимание на то, что изначально в такой список вы можете добавлять только https-сайты. Для того чтобы у вас появилась возможность добавлять в такой список любые возможные сайты, нужно в диалоговом окне надежных сайтов снять флажок с опции «Для всех сайтов этой зоны требуется проверка серверов (https:)» (Require server verification (https:) for all sites in this zone). Поискав требуемый параметр политики среди административных шаблонов, вы обнаружите, что такового не существует и придется искать обходные пути. Одним из таких путей, естественно, является использование предпочтений групповой политики. Итак, выполняем следующие действия:

  1. В уже открытой оснастке редактора управления групповыми политиками переходим к узлу Конфигурация пользователя\Настройка\Конфигурация Windows\Реестр (User Configuration\Preferences\Windows Settings\Registry) и создаем там новый элемент реестра;
  2. Находясь в диалоговом окне создаваемого элемента предпочтения, оставляем установленное по умолчанию действие обновления и для куста HKEY_CURRENT_USER при помощи браузера элементов реестра переходим к разделу Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 и выбираем параметр Flags. В качестве значения этого параметра устанавливаем 00000043. Данное значение позволяет отключить соответствующий флажок. Если же вы хотите его включить, то укажите в качестве значения 00000047. Диалоговое окно данного элемента предпочтения изображено ниже:

    Рис. 2. Создаваемый элемент предпочтения реестра

    Рис. 2. Создаваемый элемент предпочтения реестра

Теперь осталось добавить требуемые сайты в список надежных. С этой настройкой все намного проще, так как соответствующий параметр политики вы можете найти среди существующих административных шаблонов. Для этого вам следует перейти к узлу Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Internet Explorer\Параметры управления браузером\Вкладка «Безопасность» (User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\”Security” Page) и открыть диалоговое окно свойств параметра политики «Список назначений зоны для веб-сайтов» (Site to zone assignment list).

Как видно на следующей иллюстрации, в отобразившемся диалоговом окне вам следует установить переключатель на опцию «Включено» (Enabled), а затем нажать на кнопку «Показать» (Show). После этого в окне вывода содержимого вам нужно в столбце «Имя значения» (Value name) ввести URL-адрес надежного сайта, а в столбце «Значение» (Value) – идентификатор зоны. Как можно заметить в описании данного параметра политики, значения указываются от 1 до 4, где 1 будет зоной интрасети, 2 – зоной надежных сайтов, в качестве значения 3 выступает зона Интернета, а 4 – зона ограниченных сайтов. То есть в данном примере следует указать значение 2:

Рис. 3. Определение сайтов для зоны «надежные сайты»

Рис. 3. Определение сайтов для зоны «надежные сайты»

После обновления параметров политики на целевом клиенте вы заметите, что соответствующий флажок в диалоговом окне надежных сайтов будет снят и у вас уже будет заполнен список надежных сайтов без возможности добавления последних, а на рабочем столе будет фигурировать ярлык для сайта, который будет открываться исключительно в браузере Internet Explorer. Следовательно, все действия были выполнены правильно и у нас все получилось

Рис. 4. Диалоговое окно надежных сайтов Internet Explorer

Рис. 4. Диалоговое окно надежных сайтов Internet Explorer

Заключение

В этой небольшой статье я рассказал вам о паре настроек браузера Internet Explorer, которые вы можете изменить средствами функциональных возможностей групповой политики, причем как при помощи предустановленных административных шаблонов, так и методом создания отдельных элементов предпочтений GPO. Было рассмотрено создание на рабочем столе нового ярлыка с URL-адресом, который будет открываться исключительно при помощи определенного браузера, а также рассматривалась генерация списка надежных сайтов с возможностью добавления не только https-, но и http-сайтов. До встреч!

VN:F [1.9.22_1171]
Rating: 8.9/10 (11 votes cast)
Совет недели (2014-05-4): Надежные сайты, открытие ярлыка в конкретном браузере и GPO, 8.9 out of 10 based on 11 ratings

3 комментария

  1. А как оставить пользователям возможность самим добавлять страницы в список надежных сайтов?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. В этом случае Вам нужно будет воспользоваться возможностями предпочтений групповой политики. Что вы делаете для этого:
      1. — Создаете элемент реестра;
      2. — Выбираете куст HKCU и раздел Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gpo-planet.com\www, где gpo-planet.com\www — необходимый домен (это будут 2 разных раздела в системном реестре).
      3. — Имя параметра, который создается в разделе www будет http. Тип — DWORD, значение 00000002
      В итоге вы добавите домен в зону надежных сайтов и юзеры смогут вносить изменения в этот список

      VN:F [1.9.22_1171]
      Rating: +1 (from 1 vote)

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *