In un ambiente di dominio a volte può essere necessario aggiungere tramite GPO un elenco di siti nelle quattro zone di protezione di Internet Explorer (Internet, Local Intranet, Trusted Sites, Restricted sites). Un modo per risolvere il problema è configurare la policy Site to Zone Assignment List Properties:
che si trova sotto User Configuration\Administrative Template\Windows Component\Internet Explorer\Internet Control Panel\Security Page. Una volta cliccato su Enable tramite il pulsante Show avremo modo di inserire i siti nella tabella seguente:
Nel campo Value Name andremo ad inserire il nome del sito o il nome del percorso di rete e nel campo Value la zona in cui inserire il sito in formato numerico dove:
- 1 = Intranet zone
- 2 = Trusted Sites zone
- 3 = Internet zone
- 4 = Restricted Sites zone
Una volta configurata la policy e lanciato l’aggiornamento nel client tramite il comando GPUPDATE dovremmo vedere all’interno di Internet Explorer una situazione del genere:
Come potete notare la zona è stata correttamente inserita, ma presenta un problema, l’elenco non è modificabile dall’utente ma solo tramite la GPO. Se questo è un problema perchè volete lasciare all’utente la possibilità di modificare questa lista dobbiamo seguire un approccio diverso e cioè andare ad inserire i siti direttamente nel Registry tramite uno script di Logon. Per modificare le chiavi registro usiamo il comando REG.EXE incluso nel sistema operativo a partire da Windows XP. Se vogliamo aggiungere una share di rete come sito possiamo utilizzare il comando REG nel seguente modo:
- reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\<share>" /f
- reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\<share>" /v file /t REG_DWORD /d 1 /f
Se invece vogliamo aggiungere il sito
http://sistarelli.com dobbiamo usare:
- reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sistarelli.com" /f
- reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sistarelli.com" /v http /t REG_DWORD /d 1 /f
Infine nel caso di
https://www.google.com i comando da usare sono:
- reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\google.com" /f
- reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\google.com\www" /f
- reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\google.com\www" /v https /t REG_DWORD /d 1 /f
Nel caso si volesse eliminare un sito dall’elenco bisogna cancellarlo dal Registry sempre tramite il comando REG:
- reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\google.com" /f
In questo modo cancelliamo tutti siti i siti del tipo *.google.com.