我们正在使用以下组策略来控制Internet Explorer安全区域:
用户configuration\pipe理模板\ Windows组件\ Internet Explorer \ Internet控制面板\安全页面
然后使用以下图表将各个值设置为“区域分配列表 ”:
价值设定
------------------------------
0我的电脑
1个本地Intranet区域
2可信站点区域
3互联网区
4个受限站点区域
这很好, 但是 ,用户无法编辑(或特别是添加)到他们的区域设置。 有没有办法locking我们的自定义区域设置,同时仍然允许用户将自己的网站添加到安全区域?
是的,我意识到开放这个安全风险很小。
组策略没有原生的方法。
其他人会出现,并build议您为用户编写一个login脚本,以便在本机上将站点设置为区域分配,这仍将允许他们添加/更改站点。 我个人认为这是一个非常糟糕的主意。
我们通过获取站点/立即支持来确定问题,然后提交一张票给我们来添加站点。 我们仍然保持控制,因为作为专业人士,我们知道什么是最好的 不是用户。
它是否会造成一些额外的pipe理开销? 是。 是否比解决环境中的感染和爆发所需的额外工作更less? 是。
编辑下面的评论:
我们处理这种情况的方法是将他们的testingPC移动到testing实验室OU中,创build一个GPO(仅将站点设置为区域分配列表)并将其链接到该OU,并将该GPO的组策略对象编辑委派给Dev / QA团队的成员。
然后,他们可以编辑单个GPO到他们的心中。
不适用于组策略,但组策略首选项有一种方法。 这是他们在Windows 2008中引入的一项新function,也是执行组策略的“新方法”。 它可以让你预先填充你想要的configuration的客户,但仍然给他们自由添加和删除。 它也可以代替大部分的login脚本要求,加快login时间。
你实际上并不需要一个2008域名来使用它,它可以与2003或2000域名一起工作。 你只需要有一台2008,Vista或Win 7的机器来创build组策略首选项。 您还需要将组策略首选项客户端安装在您的客户端上。
我发现程序ZonedOut是相当有帮助的。 也许它会帮助你完成你所需要的。 您可能能够设置和locking常规用户界面,并使用ZonedOut仍然添加额外的url。