[Windows] 透過GPO的設定,達到Windows驗證的站台不需再輸入帳號與密碼

[Windows] 透過GPO的設定,達到Windows驗證的站台不需再輸入帳號與密碼

由於軟體業的發展,導致在資訊軟體在公司內使用的數量越來越多

公司在評估資產管理、會計系統、專案管理系統、出缺勤系統等等的系統

可能會採用外購或者是自行開發來作到系統之間的整合

但是整合的過程,又會希望使用者能夠不要記太多組的密碼

所以Single Sign On (SSO)的機制就出現了,以Windows平台來說,能夠透過Windows的AD驗證,達到各系統之間的單一窗口登入

不過透過Windows驗證時,就會發生一個問題

若是以瀏覽器IE查看各系統時,即使已經登入AD網域,瀏覽器還是會跳出請輸入帳號與密碼的視窗

2013-08-11_111548

其實問題出在IE的安全性設定上,預設的使用者驗證,是只在[近端內部網路區域自動登入]

2013-08-11_111656

所以只要將公司內部系統的網址加入到[近端內部網路]清單就可以了

2013-08-11_111858

這樣的方式確實解決了不用再輸入帳號與密碼的問題,但是若是Client端有上百台電腦,要設定起來也是很花時間的一件事,所以我們可以透過AD的GPO進行近端網站的加入

1.首先打開群組原則管理,並切換到[使用者設定]=>[原則]=>[系統管理範本]=>[Windows元件]=>[Internet Explorer]=>[網際網路控制台]=>[安全性畫面]

並點選[指派網站到區域清單]

2013-08-11_113056

2.開啟[指派網站到區域清單]之後,將功能設定為[已啟用],並點選[顯示]按鈕,在跳出的區域視窗中,值名稱輸入要加入近端網站的網址或是網域名稱,值的部份輸入1

2013-08-11_113718

有關值的部份,在說明中有詳細的內容

1 : 內部網路區域

2 : 信任的網站區域

3 : 網際網路區域

4 : 受限制的網站區域

設定完之後,執行gpupdate /force,重新更新群組原則內容

從結果來看,群組原則已經指派到Client電腦上了,且無法進行修改

2013-08-11_114449

透過GPO的設定,可以讓瀏覽器在單一登入各個系統的功能上,讓使用者感到更為便利,也能協助公司在所有系統的單一登入整合作密切的連結