dość standardowy komunikat podczas uruchamiania skryptów z dysq sieciowego. powód – ścieżka nie jest rozpoznawana jako 'local Intranet’ i nie jest zaufana – czyli rozwiązaniem jest dodanie adresu do odpowiedniej strefy w Internet Settings Zones. o ile same strefy koncepcyjnie są dobrym pomysłem, o tyle ich realizacja, działanie i zarządzanie prosi się o złożenie krwawych ofiar z IE team na ołtarzu Wielkiego Admina. kilka zebranych ciekawostek dotyczących tego tematu…
1. zarządzanie strefami via GPO…
tak najlepiej – bo globalnie. to rozwiązanie ma jednak sporo ograniczeń przez co traci na przydatności. najlepiej zerknąć jak strefy są zapisywane w rejestrze. ustawienia mogą być per user [HKCU] lub per komputer [HKLM] w kluczu:
HKxx\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
w nim są dwie gałęzie – Domains oraz EscDomains, które będą używane zależnie od tego czy IE odpalony jest w trybie ESC czy pełnym. dalej są już wpisy z wartością DWORD przypisującą do odpowiedniej strefy. podobnie jest to widoczne w GPO – gdzie podaje się listę stron i definiuje odpowiednią wartość przypisania. co z tego wynika? ponieważ lista jest płaska:
- wpisy w żadnym scenariuszu nie są sumowane! zawsze wygrywa jedna lista, i ta jest traktowana jako całość. a więc nie ma możliwości 'dodania wpisu’ dla danej grupy czy usera – trzeba zawsze podawać pełną listę.
- wpisy dla komputera zawsze wygrywają – to aqrat standard dla GPO
- pozostaje kwestia metody dodania wpisów – czy będzie to IE Maintenance Mode, czy GPP. w GPP można na dwa sposoby – przez konfigurację IE oraz przez dodanie wpisu bezpośrednio do rejestru
brak granularności jest koszmarnym utrudnieniem i generuje muliplikowanie polis i wpisów – różnica w pojedynczym wpisie wymaga przepisania całości. jakimś obejściem problemu jest dodawanie wpisów poprzez dodanie klucza w rejestrze.
2. IE Maintenance Mode – czyli zgroza. szczęśliwie został wycofany w IE1o, nieszczęśliwie wiele firm nadal korzysta [i pewnie długo będzie] z IE8/IE9. edytor polis – GPEdit – wspiera się kontrolkami systemowymi. i tak też jest w przypadq IEMM. oznacza to, że wszystko zasysane jest z komputera, na którym wykonywana jest operacja. to z kolei oznacza, że trzeba mieć tyle komputerów bazowych, ile różnych wersji OS i przeglądarek. optymalnie x2 [z ESC i bez]. przy modyfikacji istniejącej polisy trzeba przenieść stację do OU w którym jest polisa, zassać ją, otworzyć GPMC – dopiero teraz GPedit, otwierając IEMM zassie wartości, które można modyfikować. w innym wypadq trzeba będzie wszystko wpisywać od początq.
3. Słowo o GPP. niewątpliwie jest nieporównywalnie lepszym rozwiązaniem, zastępującym IEMM. najlepiej zmigrować polisy do GPP ASAP, chociaż i tutaj nie jest bez niespodzianek – znów, są oddzielne 'szablony’ w GPP dla różnych wersji IE, i zależnie od tego jaka jest kombinacja wersji OS/IE – niektóre będą widoczne, a niektóre nie /:
4. We Can’t Verify Who Created This File… czyli skąd w ogóle ten temat. taki komunikat zaczął pojawiać się na stacjach klienckich podczas logowania użytkowników. okazało się, że jest uruchamiany przy logowaniu skrypt… jako admin lokalny komputera. no i zaczyna się babol, ponieważ nie da się utworzyć polisy na użytkownika lokalnego. klient ma windows7 z IE8 i polisy robione IEMM. teoretycznie w sukurs może przyjść fakt, że IEMM jest dla usera i komputera, a polisy komputera nadpisują użytkownika – również lokalnego. hura!… ale zaraz.. jeśli doda się pojedynczy link – to nadpisze wszystkie dodane użytkonikowi, bo się nie sumują. kto podejmie się przepisywania wszystkich polis w dużej firmie, przewidzenia konsekwencji zmiany logiki itp itd… a czasu nie ma. trzeba zrobić.
i tu rozwiązaniem okazało się wstrzyknięcie tego pojedynczego wpisu do rejestru:
- GPEdit/Computer Configuration/Preferences/Windows Settings/Registry
- i tutaj dodane „Update” dla:
- Hive: HKLM
- KeyPath: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\<server.with.domain.ad>
- Value: *
PODSUMOWUJĄC
jeśli jesteś adminem i nie masz zapędów samobójczych – rób wszystko żeby utrzymać jeden standard – tutaj OS+IE, ale generalnie ustandaryzowane środowisko jest łatwiej zarządzalne.
druga porada – staraj się korzystać z dobrodziejstw nowych metod – GPP zamiast skryptów czy IEMM, folder redirection a nie jakieś roaming profiles i tak dalej…
eN.
olo
nExoR
olo
nExoR
Mateusz
nExoR