使用域组策略设置IE受信任站点

为了配合企业办公应用系统的使用，常常需要统一对客户端某项设置进行调整，例如OA系统常需要客户端在IE浏览器中设置受信任站点，以下即演示如果通过域组策略统一调整IE受信任站点（注：此处演示环境 域控制器WindowsServer2008R2，客户端XPSP3）；

1、 使用域管理员身份登录域控制器，单击 开始>管理工具>组策略管理；

2、 选项对应OU，右键新建GPO并编辑该GPO；

3、 依次点击选择 计算机配置>策略>管理模板：从本地计算机检索到的策略定义（ADMX文件）>Windows组件>InternetExplorer>Internet控制面板>安全页；双击右侧 站点到区域分配列表；

4、 在弹出的设置窗口勾选 已启用，并单击下方“显示”；

5、 在弹出的填写页面，左侧栏依次输入需要受信任站点的地址，例如此处的演示地址为http://www.google.com.hk，右侧填写值为2；填写完成后单击确定完成策略填写；

6、 点击 应用>确定 完成策略编辑；

重启客户端使用域账号登录客户端，打开IE浏览器，点击菜单栏 工具>Internet选项>安全>受信任站点>站点；

4、 通过注册表修改《对该区域中所有站点要求服务器验证(https://)》；经查找，组策略中貌似没有该项的相应调整项目（若有前辈知道该项在组策略中的调整位置请指明，否则此处就是误导大家了），且该项默认是勾选的，若应用系统有相应需求要求不勾选该项，可以通过使用开机脚本来实现；

该项目的注册表文件对应为

[hkey_current_user\software\microsoft\windows\currentversion\internetsettings\Zones\2]下的flags项，该项键值为16进制43（10进制为67）表示不勾选，该项键值为16进制47（10进制71）表示勾选；

可以通过命令行来修改，将下面对应命令行输入记事本，保存为.bat或者NaNd在域组策略中使用开机脚本下方即可批量修改；

reg add"HKCU\Software\Microsoft\windows\currentversion\internetsettings\Zones\2" /v flags /t reg_DWORD /d 71 /f

//该行不复制，表示勾选（因为命令行修改默认为10进制，所以此处使用71）；

reg add"HKCU\Software\Microsoft\windows\currentversion\internetsettings\Zones\2" /v flags /t reg_DWORD /d 67 /f

//该行不复制，表示不勾选（因为命令行修改默认为10进制，所以此处使用67）；