Как добавить сайт в местную интрасеть через gpo windows 2012

Обновлено: 03.07.2024

Поддержка классических приложений Internet Explorer 11 будет прекращена и больше не будет поддерживаться 15 июня 2022 г. (список области применения см. в часто задаваемых вопросах). Те же приложения и сайты IE11, которые вы используете сегодня, можно открывать в Microsoft Edge в режиме Internet Explorer. Более подробную информацию см. здесь.

В этой статье объясняется, как настроить политики для режима IE.

Эта статья относится к Microsoft Edge версии 77 или более поздней; каналы Stable, Beta и Dev.

При настройке режима IE необходимо выполнить три действия:

  1. Если вы готовы отключить приложение IE11, выполните действия из раздела Отключение Internet Explorer 11
  2. В противном случае выполните остальные действия из раздела Перенаправление сайтов с IE в Microsoft Edge

Политики для включения режима IE можно настроить с помощью Intune. Дополнительные сведения см. в статьях Добавление Microsoft Edge в Microsoft Intune и Настройка политик Microsoft Edge с помощью Microsoft Intune.

Настройка интеграции с Internet Explorer

Вы можете настроить Internet Explorer для открытия сайтов непосредственно в Microsoft Edge (режим IE). Кроме того, можно настроить Internet Explorer для открытия сайтов в отдельном окне Internet Explorer 11. Большинство пользователей предпочитает, чтобы сайты открывались непосредственно в Microsoft Edge в режиме IE.

Включение интеграции с Internet Explorer с помощью групповой политики

Скачайте и используйте последний шаблон политик Microsoft Edge.

Откройте редактор групповых политик.

Щелкните Конфигурация пользователя/конфигурация компьютера > Административные шаблоны > Microsoft Edge.

Дважды щелкните пункт Настройка интеграции с Internet Explorer.

Выберите Включено.

В разделе Параметры выберите из раскрывающегося списка значение

  • Режим Internet Explorer, если вы хотите, чтобы сайты открывались в браузере Microsoft Edge в режиме IE
  • Internet Explorer 11, если вы хотите, чтобы сайты открывали в автономных окнах Internet Explorer 11 (этот параметр не будет поддерживаться после 15 июня 2022 г., когда настольное приложение Internet Explorer 11 будет отменено и не будет поддерживаться. После 15 июня 2022 г., когда IE11 больше не будет доступен, этот параметр будет вести себя так же, как и в режиме Internet Explorer.)
  • Нет, если вы хотите запретить пользователям настройку режима Internet Explorer с помощью edge://flags или параметров командной строки.

Установка для политики значения Отключено предполагает, что режим IE отключен политикой, но его можно настроить с помощью edge://flags или параметров командной строки.

Нажмите ОК или Применить, чтобы сохранить этот параметр политики.

Перенаправление сайтов с Microsoft Edge в режим IE

Существует два варианта определения сайтов, которые должны открываться в режиме IE:

Настройка сайтов в списке сайтов предприятия

Вы можете использовать следующие групповые политики для настройки отдельных сайтов, которые нужно открыть в режиме IE:

    (Internet Explorer) (Microsoft Edge версии 78 или более поздней)
    Эта политика позволяет создать отдельный список сайтов в режиме предприятия для Microsoft Edge. Включение этой политики переопределяет параметры в политике "Использовать список веб-сайтов IE в режиме предприятия", если включен параметр "Настройка интеграции с Internet Explorer". Отключение или отмена настройки политики не влияет на поведение по умолчанию политики "Настройка интеграции с Internet Explorer".

Настраивать политику Microsoft Edge не обязательно. Во многих организациях используется переопределение. Это позволяет сделать текущий список сайтов доступным для всех пользователей с помощью политики IE, а также упрощает пилотное использование обновленной версии с помощью политики Microsoft Edge.

Дополнительные сведения о списках Enterprise режиме см. в Enterprise диспетчере списков сайтов.

Настройка с помощью политики "Использовать список веб-сайтов IE в режиме предприятия"

В режиме Internet Explorer можно использовать существующую политику для настройки списка сайтов предприятия для Internet Explorer, что позволяет создавать и вести один список.

Настройка с помощью политики "Настроить список сайтов для режима предприятия"

Кроме того, в режиме IE можно задать отдельную политику для Microsoft Edge. Эта дополнительная политика позволяет переопределять список сайтов IE. Например, в некоторых организациях список рабочих сайтов будет доступен для всех пользователей. Тогда вы сможете развернуть пилотный список сайтов для небольшой группы пользователей, используя эту политику.

Настройка всех сайтов интрасети

Режим IE можно настроить для всех сайтов в зоне местной интрасети. Вы можете исключить отдельные сайты из режима IE с помощью списка сайтов в режиме предприятия.

  1. Откройте редактор локальных групповых политик.
  2. Щелкните Конфигурация пользователя/конфигурация компьютера > Административные шаблоны > Microsoft Edge.
  3. Дважды щелкните Отправлять все сайты интрасети в Internet Explorer.
  4. Выберите Включено, а затем нажмите кнопку ОК или Применить, чтобы сохранить параметры политики.

Перенаправление сайтов с IE в Microsoft Edge

Вы можете запретить пользователям использовать Internet Explorer для сайтов, для которых он не нужен. Internet Explorer может автоматически перенаправлять сайты в Microsoft Edge, если они не находятся в вашем списке сайтов.

Привет. Наверняка вы обращали внимание, что если вы запускаете bat скрипт из сетевой папки, то у вас выскакивает предупреждение безопасности.

Добавление сайтов в зоны безопасности IE. Ошибка при запуске скрипта по сети

Либо если вы заходите на какой-то сайт, например онлайн банк-клиент, то у этого сайта очень многие элементы заблокированы. Решить подобные проблемы можно, если добавить необходимые доменные имена ресурсов в определенные зоны безопасности в Internet Explorer. Как правило — это местная интрасеть, либо надежные сайты.

И если с добавлением единичных сайтов, для одного пользователя проблем нет, то в массовых случаях нужно что-то придумывать, что б не бегать по всем компьютерам.

Сегодня хочу показать вам как можно автоматически добавлять домены и сайты в зоны безопасности, при помощи групповых политик.

Покажу вам 2 способа.

Первый способ – воспользуемся административными шаблонами.

Для этого в редакторе групповых политик идем в User Settings – Administrative Templates – Windows Components – Internet Explorer – Internet Control Panel – Security Page. Тут нам нужен параметр Site to Zone Assignment List.

Добавление сайтов в зоны безопасности IE. Редактор групповой политики.

Добавление сайтов в зоны безопасности IE. Добавляем зоны в список, в параметре групповой политики.

После применения этой политики в свойствах зоны будут те домены, которые вы указали, но при этом пользователю самостоятельно будет запрещено редактировать эти зоны.

Добавление сайтов в зоны безопасности IE. Зоны добавлены через GPO. Пользователю запрещено менять.

Если же вам нужно распространить зоны и при этом, дать пользователям возможность еще и самостоятельно добавлять необходимые им сайты, тогда нужно распространять их через реестр, а не через административные шаблоны.

Второй способ:

Для этого опять же идем в редактор групповой политики и идем по пути User Configuration – Preferences – Windows Settings – Registry. Тут добавляем новый элемент реестра.

Добавление сайтов в зоны безопасности IE. Добавляем значения в реестр.

Для области указываем HKEY_CURRENT_USER, для пути – Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\test.loc\dc Соотвественно тут я добавляю домен host.test.loc. Если нужно добавить целый домен, тогда добавляйте в конце строки просто \test.loc

Value Type должен быть REG_DWORD.

В Value Data должна быть цифра. Цифры тут такие же, как и для зон при задании через административные шаблоны (1 –Местная Интрасеть (Intranet Zone), 2 – Доверенные Сайты (Trusted Sites), 3 – Зона Интернета (Internet Zone) и 4 – Небезопасные Сайты (Restricted Sites)).

Добавление сайтов в зоны безопасности IE. Добавляем значения в реестр. Указываем нужный домен.

Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\

Value name – Flags

Value type – REG_DWORD

Value Data – 71 – для того, что бы галка стояла, и 67 – что бы была отключена.

Добавление сайтов в зоны безопасности IE. Добавляем значения в реестр. Ставим галку, для обязательной проверки подлинности.

Если вы хотите добавить диапазон IP адресов, тогда нужно добавлять 2 параметра.

SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\local

Value name - :Range

Value type – REG_SZ

Value Data – 192.168.1.0-254

Добавление сайтов в зоны безопасности IE. Добавляем значения в реестр. Добавляем значения для диапазона адресов.

SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\local

Value name - * (или нужный вам протокол)

Value type – REG_DWORD

Value Data – 1 (номер зоны)

Добавление сайтов в зоны безопасности IE. Добавляем значения в реестр. Выбираем зону для диапазона IP адресов.

Надеюсь информация окажется вам полезной.

Поделитесь статьей с друзьями в соц. сетях, возможно, она будет им полезна.

Здравствуйте, данная статья расскажет вам о групповой политике Windows Server 2012. Group Police - это мощный инструмент который позволяет управлять пользователями, системой, различными настройками централизованно.

Управление и настройки Group Police происходит через Active Directory а именно настройками для пользователей и ПК которые входят в домен.

Развитие групповых политик производится в рамках домена и здесь же же реплицируются, в основном они нужны для настройки конфигурации нескольких компьютеров в том числе, здесь расположено и настройки безопасности, установка программного обеспечения, различные сценарии, переадресации папок и предпочтения!

Настройки которые создаются в групповой политики расположены в объектах групповых политик.

Существуют два типа ГП а именно: локальный и не локальный.

Не локальные объекты ГП находятся на контроллере домена и иметь к ним доступ возможно только в среде AD, они могут быть использованы только к пользователям и компьютерам в web-сайте, доменах или подразделениях.

Локальные объекты ГП хранятся на локальном ПК и причем на компьютере будет существовать только 1 локальный объект ГП и он будет содержать набор различных параметров доступных вне локальном объекте.

В случае конфликта локального объекта будут перезаписаны в не локальный, или параметры будут применены совместно.
Каждый объект ГП состоит из контейнера GP и шаблона GP.

В системе присутствует два объекта Group Police по умолчанию, это политика домена по дефолту и контроллера домена.

Default Domain Controller Police – эта политика создана в Server 2012 по умолчанию если выполнено условие развертывания сервер-доменных служб AD, и она содержит настройки которые применены только к контроллеру домена.

Default Domain Police (политика домена по дефолту) – создается так же при развертывании роли сервера-доменных служб AD и содержит настройки которые применены ко всем рабочим станциям и пользователям домена.

Можно создавать свои объекты но при создании нужно всегда осознавать целесообразность этих действий, каждый объект состоит из параметров в которых можно выделить две папки:

Computer Configuration – данная папка будет содержать настройки, которые будут применяться к ПК и неважно кто из пользователей заходят в систему.

User Configuration – папка содержит настройки, которые будут использованы для применения к пользователям Microsoft и не важно какую рабочую станцию они ,будут использовать.

Данные параметры будут иметь существенные полномочия, которые в последствии будут решать судьбу пользователей в целом.

В папках Computer Configuration и User Configuration наблюдаем две подпапки это папка Policies (параметр политики) – в которой расположена конфигурация политики однозначно применяющиеся к GP, а папка Preferences (параметры предпочтений) – содержит различные преимущества которые возможно использовать для редактирования почти каждых параметров реестра, файла, папки или любого элемента, с помощью данной папки можно настроить программы которые не зависят от ГП.

В процессе изменения настроек Group Police вы столкнетесь с различными вариантами, но в общем случае вам потребуется выбрать из трех вариантов, которые приводят к результатам показанных ниже:

Enabled - запись в реестр включения

Disabled – это противоположный алгоритм Enabled, который будет записан со значением выключения

Not Configured - это политика не будет записывать в реестр, соответственно она не оказывает какого-либо влияния

Важно знать когда применяются Group Police, если вы изменили параметр относящиеся к настройкам компьютера, то обновления вступят в силу при запуске, если применяем к пользователям то при следующем входе в систему.

Разумеется не всегда удобно и выгодно ждать когда же компьютер будет перезагружен или пользователь заново войдет в систему, поэтому по дефолту изменение в конфигурации политики происходят каждые 90 минут, это время вы можете изменить. Если хотим запустим политику сразу, запускаем команду: gpupdate.

Если у вас имеются подразделения и в них будут присутствовать какие-то дочерние подразделения, то изначально в приоритете стоит сначала дочернее подразделение после подразделения и только после домен и т.д

Хочу отметить что этот инструмент очень сложный и очень большой, и вместо того что бы еще больше рассуждать о теории мы перейдем непосредственно к настройке

Настройка GPO Server 2012:

Для того что бы начать работу откройте "Панель управления"


Далее перейдите во вкладку "Администрирование"


В открывшимся окне щелкните по пункту "Управление ГП"


В объектах групповой политике вы увидите две политике по дефолту, именно их и будем редактировать. Для внесения изменений жмем ПКМ по "Default Domain Policy" и кликнем "Изменить"


Если мы развернем в конфигурации ПК папку Политики то увидим три подпапки это: конфигурация программ, конфигурация windows, административные шаблоны.

Одним из показательных примеров того как изменять политику касающегося пользователя является изменения касающихся с акаунтом. Переходим: "Политики – Конфигурация Windows – Параметры безопасности – Политика учетных записей" и видим здесь три раздела для изменений, давайте пока что внесем изменения скажем в Политику паролей выставим значения как показано на рисунке ниже, все значения вы выставляете как посчитаете нужным:
Заходим в "Максимальный срок действия пароля" и убираем галочку с "Определить следующий параметр политики" после чего применяем изменения, данная функция необходима для того что бы у пользователя был постоянно один и тот же пароль


В свойствах "Минимальной длины пароля" вновь уберем переключатель и применим изменения


И наконец то самый интересный пункт "Пароль должен отвечать требованиям сложности" ставим "Отключено" и применяем изменения, после отключения данной политике пользователю не нужно будет вводит пароль который бы отвечал требованиям безопасности, но это еще не окончательные настройки, что бы полный алгоритм отключения сложных паролей читайте данную статью.

Но предупреждаю, как только вы внесете изменения в политику паролей Server 2012, безопасность вашей системы ухудшится, поэтому решайте сами!

Приведу еще один пример, допустим мы хотим запретить пользователю слушать любые аудио дорожки, за это будет отвечать служба "Windows Audio" которая находится в папке "Системные службы"


Но для начала откроем список локальных служб у пользователя, и сможем увидеть, что данная служба у него пока что запущена по умолчанию


Мы возвращаемся на контроллер домена и меняем параметр "Windows Audio" для этого кликаем по ней ПКМ и переходим в "Свойства"


Прежде всего включаем чекбокс "Определись следующий параметр политики" в режиме запуска ставим "Запрещен" далее "Применить"


Когда пользователь вновь войдет в систему то служба уже будет отключена и звук функционировать у него не будет.

Развернуть настройки для Internet Explorer на доменных компьютерах с помощью групповой политики оказалось не такой уж тривиальной задачей, как казалось на первый взгляд. Вроде бы, все необходимые параметры присутствуют в GPO, но когда началось тестирование – сразу же показались подводные камни. Настраивать нужно IE от версии 8 до самой последней 11-й, а с текущей конфигурацией сервера удалось управлять только 8 и 9 версией браузера. Еще неприятный момент – задаешь один параметр, а заменяются с ним еще несколько, которые менять нельзя. Через некоторое время стало ясно, что GPO для решения этой задачи не подойдет, нужно использовать GPP (Group Policy Preferences) и менять необходимые настройки IE прямо в реестре. Такой подход с полностью предсказуемым результатом, в отличие от GPO. Далее подробнее про настройки IE…

IE settings GPP 1 thumb Настройка Internet Explorer с помощью GPO

1. Задаем домашнюю страницу в IE

2.1 Добавляем свой домен в Местную интрасеть

2.2 Добавляем несколько узлов в Надежные сайты

2.3 Задаем параметр Автоматический вход в сеть с текущим именем пользователя и паролем (Automatically logon with current username and password) для Местной интрасети

Если нужно другое значение этого параметра:

10000 = Prompt for user name and password
20000 = Automatic logon only in the Intranet zone
30000 = Anonymous logon

2.4 Включаем все параметры ActiveX и отключаем блокировку всплывающих окон для Надежных сайтов

iE settings GPP 2 thumb Настройка Internet Explorer с помощью GPO

3. Задаем Настройки сети, которые находятся вкладке Подключения

iE settings GPP 3 thumb Настройка Internet Explorer с помощью GPO

iE settings GPP 4 thumb Настройка Internet Explorer с помощью GPO

Чтобы установить галку – Не использовать прокси-сервер для локальных адресов, нужно в ProxyOverride в конце строки прописать ;<local>.

Чтобы снять галку – Автоматическое определение параметров, меняем следующий ключ реестра:

Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!

Читайте также: