«Не удаётся проверить издателя. Вы действительно хотите запустить эту программу?»

В нашей сети пользователи авторизуются в домене Windows. При входе в систему с сервера запускается bat-файл, монтирующий сетевые диски. Всё хорошо работало, за исключением одной детали: при запуске скрипта пользователю выдавалось сообщение «Не удаётся проверить издателя. Вы действительно хотите запустить эту программу?». После многих попыток убрать это сообщение, решение было найдено. Ниже я расскажу как сделать это через групповые политики Active Directory.

Окно появляется из-за настроек безопасности Internet Explorer. Для того, чтобы для скриптов, запускаемых с нужного сервера сообщение не выдавалось, делаем следующее:

1. В редакторе групповых политик заходим в Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Internet Explorer > Панель управления обозревателем > Вкладка безопасности
2. Редактируем параметр «Список назначений зоны безопасности для веб-узлов«
3. Выбираем из списка «Включен» и счёлкаем по кнопке «Показать»
4. Добавляем новый элемент (Имя: server_name, значение: 1). Здесь вместо server_name вводим имя вашего сервера или его ip-адрес (зависит от того, по имени или адресу вы обращаетесь к серверу при запуске скрипта). Значение 1 говорит о том, что указанный сервер нужно относить к зоне интрасети
5. Присваиваем значение «Включить» параметру Зона интрасети > Запуск программ и небезопасных файлов

В некоторых версиях Windows (например, в Windows 2008 Server R2) в Internet Explorer по умолчанию включен защищённый режим для узлов интрасети (проверить можно в свойствах обозревателя браузера > безопасность > местная интрасеть — если включен, значит стоит галка напротив «включить защищённый режим…»), из-за которого описанный выше способ не помогает. Отключить его можно либо вручную, либо групповой политикой: Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Internet Explorer > Панель управления обозревателем > Вкладка безопасности > Зона интрасети > Включить защищённый режим.

Ещё по какой-то в Windows 2008 server IE не хотел принимать списки назначений зоны безопасности через групповую политику, если прописать руками, то всё работало. Чтобы убрать сообщение пришлось включить автоматическое определение интрасети (Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Internet Explorer > Панель управления обозревателем > Вкладка безопасности > Включить автоматическое определение интрасети). Этот параметр работает только с IE >6, но поскольку на некоторых компьютерах может остаться IE 6, думаю, что есть смысл использовать оба параметра.

Осталось только попробовать настройки в действии. Если не помогло, можно попробовать обновить параметры групповой политики командой gpupdate.