dość standardowy komunikat podczas uruchamiania skryptów z dysq sieciowego. powód – ścieżka nie jest rozpoznawana jako ‘local Intranet’ i nie jest zaufana – czyli rozwiązaniem jest dodanie adresu do odpowiedniej strefy w Internet Settings Zones. o ile same strefy koncepcyjnie są dobrym pomysłem, o tyle ich realizacja, działanie i zarządzanie prosi się o złożenie krwawych ofiar z IE team na ołtarzu Wielkiego Admina. kilka zebranych ciekawostek dotyczących tego tematu…

1. zarządzanie strefami via GPO…

tak najlepiej – bo globalnie. to rozwiązanie ma jednak sporo ograniczeń przez co traci na przydatności. najlepiej zerknąć jak strefy są zapisywane w rejestrze. ustawienia mogą być per user [HKCU] lub per komputer [HKLM] w kluczu:

HKxx\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

w nim są dwie gałęzie – Domains oraz EscDomains, które będą używane zależnie od tego czy IE odpalony jest w trybie ESC czy pełnym. dalej są już wpisy z wartością DWORD przypisującą do odpowiedniej strefy. podobnie jest to widoczne w GPO – gdzie podaje się listę stron i definiuje odpowiednią wartość przypisania. co z tego wynika? ponieważ lista jest płaska:

  • wpisy w żadnym scenariuszu nie są sumowane! zawsze wygrywa jedna lista, i ta jest traktowana jako całość. a więc nie ma możliwości ‘dodania wpisu’ dla danej grupy czy usera – trzeba zawsze podawać pełną listę.
  • wpisy dla komputera zawsze wygrywają – to aqrat standard dla GPO
  • pozostaje kwestia metody dodania wpisów – czy będzie to IE Maintenance Mode, czy GPP. w GPP można na dwa sposoby – przez konfigurację IE oraz przez dodanie wpisu bezpośrednio do rejestru

brak granularności jest koszmarnym utrudnieniem i generuje muliplikowanie polis i wpisów – różnica w pojedynczym wpisie wymaga przepisania całości. jakimś obejściem problemu jest dodawanie wpisów poprzez dodanie klucza w rejestrze.

2. IE Maintenance Mode – czyli zgroza. szczęśliwie został wycofany w IE1o, nieszczęśliwie wiele firm nadal korzysta [i pewnie długo będzie] z IE8/IE9. edytor polis – GPEdit – wspiera się kontrolkami systemowymi. i tak też jest w przypadq IEMM. oznacza to, że wszystko zasysane jest z komputera, na którym wykonywana jest operacja. to z kolei oznacza, że trzeba mieć tyle komputerów bazowych, ile różnych wersji OS i przeglądarek. optymalnie x2 [z ESC i bez]. przy modyfikacji istniejącej polisy trzeba przenieść stację do OU w którym jest polisa, zassać ją, otworzyć GPMC – dopiero teraz GPedit, otwierając IEMM zassie wartości, które można modyfikować. w innym wypadq trzeba będzie wszystko wpisywać od początq.

3. Słowo o GPP. niewątpliwie jest nieporównywalnie lepszym rozwiązaniem, zastępującym IEMM. najlepiej zmigrować polisy do GPP ASAP, chociaż i tutaj nie jest bez niespodzianek – znów, są oddzielne ‘szablony’ w GPP dla różnych wersji IE, i zależnie od tego jaka jest kombinacja wersji OS/IE – niektóre będą widoczne, a niektóre nie /:

4. We Can’t Verify Who Created This File… czyli skąd w ogóle ten temat. taki komunikat zaczął pojawiać się na stacjach klienckich podczas logowania użytkowników. okazało się, że jest uruchamiany przy logowaniu skrypt… jako admin lokalny komputera. no i zaczyna się babol, ponieważ nie da się utworzyć polisy na użytkownika lokalnego. klient ma windows7 z IE8 i polisy robione IEMM. teoretycznie w sukurs może przyjść fakt, że IEMM jest dla usera i komputera, a polisy komputera nadpisują użytkownika – również lokalnego. hura!… ale zaraz.. jeśli doda się pojedynczy link – to nadpisze wszystkie dodane użytkonikowi, bo się nie sumują. kto podejmie się przepisywania wszystkich polis w dużej firmie, przewidzenia konsekwencji zmiany logiki itp itd… a czasu nie ma. trzeba zrobić.

i tu rozwiązaniem okazało się wstrzyknięcie tego pojedynczego wpisu do rejestru:

  • GPEdit/Computer Configuration/Preferences/Windows Settings/Registry
  • i tutaj dodane “Update” dla:
    • Hive: HKLM
    • KeyPath: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\<server.with.domain.ad>
    • Value: *

 

 PODSUMOWUJĄC

jeśli jesteś adminem i nie masz zapędów samobójczych – rób wszystko żeby utrzymać jeden standard – tutaj OS+IE, ale generalnie ustandaryzowane środowisko jest łatwiej zarządzalne.

druga porada – staraj się korzystać z dobrodziejstw nowych metod – GPP zamiast skryptów czy IEMM, folder redirection a nie jakieś roaming profiles i tak dalej…

eN.

Spread the love

Comments (6)

  1. olo

    Odpowiedz

    Dzięki za wpis – pomógł mi. Niestety nie kminię dlaczego nie działa “Uruchom jako administrator” na .exe z domenowego DFS-a.
    Tytuł okna to Network Error:
    Windows cannot access
    Error code: 0x80070002
    The system cannot find the file specified.

    Uruchom jako inny użytkownik na poświadczeniach admina śmiga pięknie.

    Jakieś pomysły?

  2. Odpowiedz

    prawdopodobnie tak. “a to było tak:” (;
    logujesz się jako user A. jeśli UAC jest włączony i user A nie ma uprawnień administratora lokalnego to wykorzystanie opcji ‘uruchom jako administrator’ robi de facto dwie rzeczy – podnosi prompt ‘uruchom jako’ z opcją ‘dodaj token administracyjny’. w efekcie to coś, co się uruchamia działa w kontexcie użytkownika B.
    i teraz sprawa się trochę kompliqje: jeśli owy DFS jest podmapowany jako ‘literka’ to mapowania są związane z sesją użytkownika – czyli A je widzi a B nie. w takim przypadq komunikat ‘file not found’ jest oczywistą konsekwencją bo szuka nieistniejącej ścieżki. natomiast jeśli próbujesz uruchomić bezpośrendio z UNC to pozostaje kwestia tego, czy user B ma uprawnienia do tej ścieżki.

    jeśli natomiast uruchamiasz apkę jako A, i A ma uprawnienia admina lokalnego na stacji, to UAC wyłącznie pyta czy dokleić token administratora. w takim przypadq kontext użytkownika pozostaje niezmieniony i komunikat ‘file not found’ nie ma najmniejszego sensu.

  3. Mateusz

    Odpowiedz

    To ja pytanie mam koło UAC.

    1. Co mi dodaje/daje dodatkowego UAC jeżeli użytkownik używa konta domenowego (grupa Domain Users)

    2. Jeżeli UAC jest na najwyższym poziomie, to problem jest u użytkownika domenowego po wykonaniu gpupdate /force – ustawienia nie aplikują się. Gdy obniżę UAC na najniżsyz poziom problemu nie ma.
    Dziękuję!

  4. Odpowiedz

    1. daje ci uniwersalność i nieskomplikowanie rozwiązania. ciężko jest z góry założyć kto będzie się na danym kompie logował (przecież czasem to będzie admin) lub czy dany user z jakiegoś powodu admina nie ma (np. grupa developerów). skoro nie przeszkadza, a może w pewnych sytuacjach pomóc to lepiej zostawić.
    2. to nie jest prawda. UAC nie wpływa na przetwarzanie polis. być może chodzi o scenariusz, że user z uprawnieniami admina próbuje odpalić gpupdate – w takim przypadq nie spływają polisy komputera. ale jeśli mowa o zwykłym ‘domain user’ to bez względu na ustawienia UAC nie będzie w stanie wymusić refresh polis kompa, a bez problemu powinien móc odświeżyć własne

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.