本文中有关于Windows界面的说明文字,如果中英文的对应有出入,请以英文为准。
默认情况下,在Windows下打开网络存储位置的文件,比如程序的快捷方式等,会弹出一个安全警告,像下面这种:
好麻烦好麻烦,很多人觉得不爽,然而企业难免会有一些共用的程序、工具、文档为了统一版本而将之放置在统一的地方,所以,这个问题必须被解决掉。
解决这个问题分两种情况,一种是非域管理的网络环境,一种是有域管理的网络环境,下面以Windows 10及Windows Server 2016环境为例分别说明:
非域管理的网络环境
在这种情况下,要解决这个问题,在每一台单机上进行配置就可以了,依次点开Control Panel控制面板、Network and Internet网络和互联网、Internet Options互联网选项, 在弹出的窗口中按下面图中所示设置(从上到下):
按上图最下面的窗口中的示例,把一个个站点的名字加进去然后保存设定就行了,示例中UNC路径用的域名,如果特殊需要也可以用IP地址进行表述,但推荐使用域名,这样将来IP地址即使变更了,也不需要再次来逐台修改这个选项。
域管理模式网络环境
有域管理的网络环境就方便多了,不用一台台电脑去弄了,我们直接上组策略搞掂它。有两个步骤:
-
添加区域
在DC上,开始菜单点开Windows Administrative Tools(Windows管理工具),打开Group Policy Management组策略管理,找到对应的GPO(这个GPO就是会应用到你的需要生效的用户或者电脑上去的GPO,如果不存在需要创建一个),右击该GPO选Edit编辑菜单项,在弹出的Group Policy Management Editor组策略管理编辑器里左侧目录树中依次展开下面节点:
User Configuration - 用户配置
Policies - 策略
Administrative Templates - 管理模板
Windows Components - Windows组件
Internet Explorer
Internet Control Panel - 互联网控制面板
选中Security Page (安全页面)节点,然后在右侧面板中双击Site to Zone Assignment List (站点到区域分配表)打开,然后依下图中箭头按从上到下,从左到右的顺序操作:
注意添加的站点为UNC路径格式,像这样:\\myserver\mydomain.local,值都是2。
右侧的值的对应关系如下:
Internet Explorer has 4 security zones, numbered 1-4, and these are used by this policy setting to associate sites to zones. They are: (1) Intranet zone, (2) Trusted Sites zone, (3) Internet zone, and (4) Restricted Sites zone. Security settings can be set for each of these zones through other policy settings, and their default settings are: Trusted Sites zone (Low template), Intranet zone (Medium-Low template), Internet zone (Medium template), and Restricted Sites zone (High template). (The Local Machine zone and its locked down equivalent have special security settings that protect your local computer.)
以上内容大意就是Internet Explorer有四个区,1是Intranet区,2是信任站点区,3互联网区,4限制站点区。
-
修改注册表
还是在组策略管理器里操作,打开如下图节点:
节点分别是:
User Configuration - 用户配置
Preferences - 首选项
Windows Settings - Windows设置
Registry - 注册表
在右侧蓝色窗口中空白处点右键再依次选New(新建)、Registry Item(注册表项),接下来在在弹出的窗口中选择如图选项:
注册表键的完整路径如下:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
将值1806的数据由1改成0然后点OK(确定)保存。
如此操作后工作站在刷新了组策略后就不会再弹出上面提到的安全警告了。
一段时间后的补充
不知道是Windows的升级还是什么导致的,上面的办法对程序文件已经不再凑效,只能使用以下方法:
- 针对单机的直接导入注册表就行了
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Associations]
"LowRiskFileTypes"=".exe"
将上面内容复制另存为扩展名为“.reg”的文件然后导入即可。
-
使用组策略自动应用到域里的计算机
参考上面的“域管理模式网络环境”小节里的第2点,使用完全相同的节点等信息,新建一个注册表项在如下位置:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Associations
动作为Create(创建),在上述路径创建名为LowRisFileTypes的值“.exe”,具体参照下图:
创建新的注册表值
这样处理后,域里的机器跑一下gpupdate刷新一下组策略多半就可以了。
需要注意的是,如果已经有设置这个值,则在上面的动作Create(创建)需要改成Update(更新),否则不会起作用。
