none
如何用GPO加入信任的網站? RRS feed

  • 問題

  • 大家好,因敝公司內有部分網站需手動設定Client端電腦的IE選項

    將網址加入至「信任的網站」才可正常瀏覽及使用

    為了方便起見,所以想使用GPO加入這些網址直接部署到全公司的電腦

    1. 我在GPO的電腦設定 => 系統管理範本 => Windows元件 => IE => 網際網路控制台 中均無法確認設定的位置,能否指點迷津?

    2. 加入的網址,是否在Client的電腦會出現GPO中所設定的資料呢?

    3. 是否可以針對內部網站直接加入類似「http://*.abc.com.tw」類似的網址?

     

    先在這邊感謝大家

    2007年5月17日 下午 04:12
    版主

解答

  • 這部份GPO可以設定是沒錯, 可以滿足您三點需求, 只是您找錯地方了.

     

    正確位置在: 使用者設定 / Windows 設定 / Internet Explorer 維護 / 安全性 / 安全性區域與內容分級

     

    注意事項 : 如果DC是Windows Server 2003, 那麼必須先移除Internet Explorer Enhanced Security Configuration元件, 才可以正確套用到Windows XP Clients, 這個部份描述在設定時的對話框中.

     

     

     


    Scovan 蘇紘賢

    2007年5月17日 下午 05:49
  •  AskaSu 寫信:

    請問這個部分是在那邊設定呢,因為Client端真的沒有生效,僅有該台Win2k3 DC機器生效了.

    [恕刪]

     

    您必須在DC的 控制台/新增或移除程式/新增移除Windows元件, 移除Internet Explorer Enhanced Security Configuration元件.

     

    這個部份在您設定時, 系統會有提示視窗提醒您, 因為Win2k3的IE預設使用增強式的安全性, 所以利用IE上網時, 就會要求把URL加入, 但這項功能在XP上卻沒有支援, 如果DC不移除該元件, 當然只對有支援增強式安全性的主機有效, 為了要讓該GPO套用到WinXP, 您當然得先移除.

     

     

     

     AskaSu 寫信:

    [恕刪]

    有辦法讓設定直接針對電腦,而不是針對User嗎?

     

    另外, 您的意思是, 希望不會因為不同使用者登入而有所不同, 不論網域內的任何使用者, 只要在這台電腦上登入的使用者, 都是相同的設定嗎?

     

    如果是的話, 您可以在同一個GPO中使用回送處理模式, 該項的位置是在GPO的: 電腦設定 / 系統管理範本 / 系統 / 群組原則 / 使用者群組原則回送處理模式, 您可以去看該項的解說, 來決定要用 取代合併 模式.

     

     但是您必須把這個GPO套用在電腦帳戶所在的組織單位上, 這樣回送處理模式才會生效.


    Scovan 蘇紘賢

    2007年5月18日 下午 04:09

所有回覆

  • 這部份GPO可以設定是沒錯, 可以滿足您三點需求, 只是您找錯地方了.

     

    正確位置在: 使用者設定 / Windows 設定 / Internet Explorer 維護 / 安全性 / 安全性區域與內容分級

     

    注意事項 : 如果DC是Windows Server 2003, 那麼必須先移除Internet Explorer Enhanced Security Configuration元件, 才可以正確套用到Windows XP Clients, 這個部份描述在設定時的對話框中.

     

     

     


    Scovan 蘇紘賢

    2007年5月17日 下午 05:49
  •  Scovan 寫信:

    注意事項 : 如果DC是Windows Server 2003, 那麼必須先移除Internet Explorer Enhanced Security Configuration元件, 才可以正確套用到Windows XP Clients, 這個部份描述在設定時的對話框中. 

    請問這個部分是在那邊設定呢,因為Client端真的沒有生效,僅有該台Win2k3 DC機器生效了.

    有辦法讓設定直接針對電腦,而不是針對User嗎?

    2007年5月18日 下午 01:58
    版主
  • 提供一個建議給你參考

    你可以寫成reg, 利用批次檔請user安裝一次就可以了,

    使用GPO每次開機都會套用,

    你的信任網站內就會有好幾筆相同的網站.

     

     

    2007年5月18日 下午 03:13
  •  AskaSu 寫信:

    請問這個部分是在那邊設定呢,因為Client端真的沒有生效,僅有該台Win2k3 DC機器生效了.

    [恕刪]

     

    您必須在DC的 控制台/新增或移除程式/新增移除Windows元件, 移除Internet Explorer Enhanced Security Configuration元件.

     

    這個部份在您設定時, 系統會有提示視窗提醒您, 因為Win2k3的IE預設使用增強式的安全性, 所以利用IE上網時, 就會要求把URL加入, 但這項功能在XP上卻沒有支援, 如果DC不移除該元件, 當然只對有支援增強式安全性的主機有效, 為了要讓該GPO套用到WinXP, 您當然得先移除.

     

     

     

     AskaSu 寫信:

    [恕刪]

    有辦法讓設定直接針對電腦,而不是針對User嗎?

     

    另外, 您的意思是, 希望不會因為不同使用者登入而有所不同, 不論網域內的任何使用者, 只要在這台電腦上登入的使用者, 都是相同的設定嗎?

     

    如果是的話, 您可以在同一個GPO中使用回送處理模式, 該項的位置是在GPO的: 電腦設定 / 系統管理範本 / 系統 / 群組原則 / 使用者群組原則回送處理模式, 您可以去看該項的解說, 來決定要用 取代合併 模式.

     

     但是您必須把這個GPO套用在電腦帳戶所在的組織單位上, 這樣回送處理模式才會生效.


    Scovan 蘇紘賢

    2007年5月18日 下午 04:09
  •  Scovan 寫信:

    [前恕刪]

    這個部份在您設定時, 系統會有提示視窗提醒您, 因為Win2k3的IE預設使用增強式的安全性, 所以利用IE上網時, 就會要求把URL加入, 但這項功能在XP上卻沒有支援, 如果DC不移除該元件, 當然只對有支援增強式安全性的主機有效, 為了要讓該GPO套用到WinXP, 您當然得先移除.

     我對於這個部分有點難理解,

    1. 是因為該台Win2k3 DC上的「增強式安全性元件」影響到此項GPO設定部署Client端嗎? 所以必須移除該台IE的這項元件??

    2. 是否僅需移除該台的這項元件即可套用到用戶端,無論是WinXP或者Win2k3主機呢?如果DC不止一台,是否每台DC皆須移除此元件??

    如果上述答案皆為是,感覺邏輯上怪怪的,因為DC上有這項元件所以會影響到部署?感覺GPO的設定應該是不分有無此元件即可部署到其他電腦才是.

     

     

     Scovan 寫信:

     另外, 您的意思是, 希望不會因為不同使用者登入而有所不同, 不論網域內的任何使用者, 只要在這台電腦上登入的使用者, 都是相同的設定嗎?

     

    如果是的話, 您可以在同一個GPO中使用回送處理模式, 該項的位置是在GPO的: 電腦設定 / 系統管理範本 / 系統 / 群組原則 / 使用者群組原則回送處理模式, 您可以去看該項的解說, 來決定要用 取代合併 模式.

     

     但是您必須把這個GPO套用在電腦帳戶所在的組織單位上, 這樣回送處理模式才會生效.

    非常感謝您的回答,關於這部分我再試試看.

    如果難處理,可能直接將此GPO設定就鎖在Default Domain Policy上的使用者設定了吧 Stick out tongue

    2007年5月19日 上午 04:54
    版主