GPO: Asignacin de Sitios a Zonas en IE (20-01-2014)

por Santiago Buitrago (ASIR INTRASITE) Categora: Directivas de Grupo el 20/01/2014 8:52

En la mayora de las redes con tecnologa Microsoft se suelen tener aplicaciones que utilizan Autenticacin Intregrada, lo que permite que el usuario pueda autenticarse en ella de forma transparente. Por ejemplo, si tenemos una aplicacin Web (SharePoint, CRM, OWA, etc..) con la autenticacin integrada configurada, una vez hemos iniciado sesin en una mquina del dominio el usuario no tendr que autenticarse de nuevo en la apilcacin, puesto que enviar las credenciales con la que ha iniciado sesin. Para que el cliente pueda utilizar este tipo de autenticacin y beneficiarse de ella, debemos configurar el Internet Explorer y aadir la URL en la zona de Intranet Local permitiendo as el inicio de sesin automtico con el nombre de usuario y contrasea actuales (la sesin iniciada del usuario). La configuracin por defecto de la Zona de Intranet Local es la siguiente en cuanto al Inicio de sesin

Esto es muy sencillo de configurar, creamos una GPO y editamos la siguiente opcin: Configuracin de usuario - Directivas - Plantillas Administrativas - Componentes de Windows Internet Explorer - Lista de asignacin de sitio a zona.

Solo tenemos que agregar a la izquierda la URL y a la derecha especificar la zona a la que corresponde (1 Zona de Intranet, 2 Sitios de Confianza, 3 Internet, 4 Sitios Restringidos)

Ahora el usuario se conectara a cualquier aplicacin Web con autenticacin integrada en el dominio asirlab.com y no les solicitara credenciales, accedera de forma transparente. Pero esta configuracin tiene un problema, que el usuario NO podr aadir ms URL a ninguna de las zonas y esto no es muy operativo para nadie, ni para los usuarios ni para los administradores (depende cuales fuesen las necesidades claro est).

Si queremos aadir distintas URL o Dominios a los sitios de Intranet (o cualquier otra zona) debemos crear las claves de registro "manualmente". Debemos aadir las URLs en la clave Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap, para ello creamos una GPO y vamos a Configuracin de usuario - Preferencias Configuracin de Windows - Registro y ah debemos crear la siguientes claves de registro para cada URL o Dominio: El valor que establecemos identificar a cada una de las zonas (Internet, Intranet, Sitios de Confianza, Sitios Restringidos) 00000000 Equipo Local

00000001 Esta zona contiene todos los sitios web que se encuentran en la intranet de su organizacin (Intranet local)

00000002 Esta zona contiene sitios web que sabe no van a perjudicar el equipo o su informacin (Sitios de confianza)

00000003 Esta zona contiene todos los sitios web que no situ en otras zonas (Internet)

00000004 Esta zona contiene sitios web que potencialmente podran perjudicar el equipo o su informacin (Sitios restringidos)

Por lo que si queremos aadir sitios de Intranet, debemos aplicar la siguiente configuracin: Clave : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dominio Valor: HTTP (HTTPS si es necesario) Tipo: REG_DWORD Informacin del valor: 00000001

Esto aadir la url *.asirsl.com a los sitios de Intranet del usuario, pero como vis ahora le permite aadir ms sitios en la zona y distintas zonas

(registro de la sesin del usuario) (yo lo tengo configurado para HTTPS, HTTP y FILE)

Ahora si abrimos el navegador para acceder a la URL http://ca.asirlab.com accederemos sin solicitarnos credenciales, puesto que ya tenemos la url en Sitios de Intranet (la configuracin por defecto de esta zona es que se autentiquen con el usuario y contrasea actuales)

Si ahora queremos aadir ms dominios a los sitios de intranet podemos hacerlo sin problema

Estas configuraciones son a nivel de dominio completo, pero si quieres configurarlo para un subdominio (https://skydrive.live.com ) sera de la siguiten forma: