使用群組原則來設定自動允許執行 ActiveX 控制項

記錄一下我在使用群組原則來設定自動允許 IE 瀏覽器下載與執行 ActiveX  控制項的過程。不過,在我的環境裡,這些設定都沒有產生實際的效果。所以.....這篇是寫辛酸的嗎?嗯,差不多吧!

設定 IE 安全原則

群組原則有兩種範圍:電腦設定(Computer Configuration)和使用者設定(User Configuration)。這兩類設定裡面都有 Administrative Templates,可讓管理員設定系統管理範本。下圖是預設網域原則的設定視窗:


也就是說,我們可以針對電腦層級或使用者層級來設定管理範本。有些選項會同時存在於這兩種層級,若兩邊的設定有衝突,通常是電腦層級的設定勝出。

與 ActiveX 控制項有關的選項位在 Administrative Templates \ Windows Components \ Internet Explorer \ Internet Control \ Security Page,裡面又分成好幾個區域,像是 Intranet Zone、Trusted Sites Zone 等等。選擇你想要調整的區域,再變更相關設定即可。參考下圖:



圖中把 ActiveX Cotnrols 和檔案下載相關的選項都圈起來,不代表這些選項全都要啟用。選擇你需要的調整就行了。

調整完設定之後,到一台用戶端電腦上試試看。在用戶端電腦上,可以先輸入 gpupdate 命令來強制套用新設定的群組原則,以便測試。

結果,我反覆試了好幾次都沒用。最終 Windows 都會跳出一個對話窗,要求輸入具有系統管理員權限的帳號和密碼,才能繼續安裝 ActiveX 元件。

ActiveX Installer Service

不死心,再試試看 ActiveX Installer Service 設定。如下圖:

ActiveX Installer Service 設定
圖中的那個神奇數字「2,2,1,0」所代表的意義,可以在這篇文章裡找到:Administering the ActiveX Installer Service in Windows 7

結果....還是沒用。

沒辦法,只好請始作俑者網管大哥指點迷津。答曰:「可試試 rsop.msc。」

於是,我在用戶端電腦使用 rsop.msc 查看目前使用者所套用的網域原則,然後看到大哥有啟用這個選項:

群組原則 \ User Configuration \ Policies \ Administrative Templates \ Windows Components \ Windows Installer \ Always install with elevated privileges

實際測了一下,推測應該就是這個選項在作怪(負責最後把關?)。如果把它恢復成預設值「Not configured」,一般的網域使用者就可以順利安裝 ActiveX 元件,不用再輸入管理員帳號密碼了;而且不只是 ActiveX,任何軟體都可以自由安裝了。方便是方便,卻也同時違反了組織現有的安全規定:一般使用者不可以自行安裝軟體。難道又是魚與熊掌?

還有一個方法似乎有點希望:利用群組原則直接幫用戶端安裝 ActiveX 元件

但這個部分,我看還是交給專業的去處理吧!

同場加映:設定螢幕保護程式

若希望每個網域使用者在登入網域時都套用相同的螢幕保護設定,可修改預設網域原則的 User Configuration \ Policies \ Administrative Templates \ Personalization。參考下圖:



圖中有四個選項被啟用,其中的 Force specific screen saver 代表要強制每個網域使用者都使用相同的螢幕保護程式。若不啟用該選項,用戶端作業環境就必須指定某個螢幕保護程式,否則其他選項形同虛設。若啟用該選項,就得一併指定螢幕保護程式的檔案名稱,如下圖所示:


也就是說,你還得知道螢幕保護程式的檔案名稱才行。

Windows 7 內建的螢幕保護程式都是放在 System32 目錄下,有這幾個:
  • Bubbles.scr
  • Mystify.scr
  • PhotoScreensaver.scr
  • Ribbons.scr
  • scrnsave.scr
  • ssText3d.scr

按照上圖的設定,使用者登入 Windows 網域之後,進入螢幕保護程式的設定視窗時,會發現螢幕保護程式的下拉清單是沒辦法點的(因為啟用了 Force specific screen saver 選項)。

延伸閱讀

Post Comments

技術提供:Blogger.