GPO: Asignación de Sitios a Zonas en IE (20-01-2014)

En la mayoría de las redes con tecnología Microsoft se suelen tener​ aplicaciones que utilizan Autenticación Intregrada, lo que permite que el usuario pueda autenticarse en ella de forma transparente. Por ejemplo, si tenemos una aplicación Web (SharePoint, CRM, OWA, etc..) con la autenticación integrada configurada, una vez hemos iniciado sesión en una máquina del dominio el usuario no tendrá que autenticarse de nuevo en la aplicación, puesto que enviará las credenciales con la que ha iniciado sesión. Para que el cliente pueda utilizar este tipo de autenticación y beneficiarse de ella, debemos configurar el Internet Explorer y añadir la URL en la zona de Intranet Local permitiendo así el inicio de sesión automático con el nombre de usuario y contraseña actuales (la sesión iniciada del usuario). La configuración por defecto de la Zona de Intranet Local es la siguiente en cuanto al Inicio de sesión

gpo_zona_Intranet_1.jpg
gpo_zona_Intranet_2.jpg

 
Esto es muy sencillo de configurar, creamos una GPO y editamos la siguiente opción: Configuración de usuario – Directivas – Plantillas Administrativas – Componentes de Windows – Internet Explorer – Lista de asignación de sitio a zona.
gpo_zona_Intranet_9.jpg
Solo tenemos que agregar a la izquierda la URL y a la derecha especificar la zona a la que corresponde (1 Zona de Intranet, 2 Sitios de Confianza, 3 Internet, 4 Sitios Restringidos)
 gpo_zona_Intranet_3.JPG
Ahora el usuario se conectaría a cualquier aplicación Web con autenticación integrada en el dominio asirlab.com  y no les solicitaría credenciales, accedería de forma transparente. Pero esta configuración tiene un problema, que el usuario NO podrá añadir más URL a ninguna de las zonas y esto no es muy operativo para nadie, ni para los usuarios ni para los administradores (depende cuales fuesen las necesidades claro está).  
gpo_zona_Intranet_4.jpg
 
Si queremos añadir distintas URL o Dominios a los sitios de Intranet (o cualquier otra zona) debemos crear las claves de registro "manualmente". Debemos añadir las URLs en la clave Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap, para ello creamos una GPO y vamos a Configuración de usuario – Preferencias – Configuración de Windows – Registro y ahí debemos crear la siguientes claves de registro para cada URL o Dominio:
 
El valor que establecemos identificará a cada una de las zonas (Internet, Intranet, Sitios de Confianza, Sitios Restringidos)
00000000 Equipo Local
gpo_zona_Intranet_18.jpg
00000001 Esta zona contiene todos los sitios web que se encuentran en la intranet de su organización (Intranet local)
gpo_zona_Intranet_14.jpg
00000002 Esta zona contiene sitios web que sabe no van a perjudicar el equipo o su información (Sitios de confianza)
gpo_zona_Intranet_15.jpg
00000003 Esta zona contiene todos los sitios web que no situó en otras zonas (Internet)
gpo_zona_Intranet_16.jpg
00000004 Esta zona contiene sitios web que potencialmente podrían perjudicar el equipo o su información (Sitios restringidos)
gpo_zona_Intranet_17.jpg
Por lo que si queremos añadir sitios de Intranet, debemos aplicar la siguiente configuración:
 
Clave: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dominio
Valor: HTTP (HTTPS si es necesario)
Tipo: REG_DWORD
Información del valor: 00000001
gpo_zona_Intranet_10.jpg
Esto añadirá la url *.asirsl.com a los sitios de Intranet del usuario, pero como véis ahora le permite añadir más sitios en la zona y distintas zonas
gpo_zona_Intranet_12.jpg
(registro de la sesión del usuario) (yo lo tengo configurado para HTTPS, HTTP y FILE)
gpo_zona_Intranet_11.jpg
Ahora si abrimos el navegador para acceder a la URL  http://ca.asirlab.com accederemos sin solicitarnos credenciales, puesto que ya tenemos la url en Sitios de Intranet (la configuración por defecto de esta zona es que se autentiquen con el usuario y contraseña actuales)
gpo_zona_Intranet_7.jpg
Si ahora queremos añadir más dominios a los sitios de intranet podemos hacerlo sin problema
gpo_zona_Intranet_13.jpg
Estas configuraciones son a nivel de dominio completo, pero si quieres configurarlo para un subdominio (https://skydrive.live.com) sería de la siguiten forma:
gpo_zona_Intranet_19.jpg
 
Es bastante sencilla la configuración y nos permitirá añadir las distintas URL a las zonas del Internet Explorer desde una GPO, además de permitir que el usuario final pueda añadir más URL
 
Espero que os sea de utilidad!!!

También te podría gustar...