Vorweg ein kleiner Hinweis: Zonensettings sind nicht an den Internet Explorer gebunden, sondern werden von vielen Komponenten (z.B. Explorer, Powershell, Office, …) bei dem Zugriff auf das Netzwerk verwendet!

Allgemein

Der allgemeine Algorithmus ist relativ einfach erklärt:

  1. Sobald ein “.” in der Domäne/Rechnername erscheint, wird die Internet Zone verwendet, Bsp.: http://www.microsoft.com
  2. Sobald eine Domäne/Rechnername einer anderen Zone explizit zugewiesen wurde, so wird diese Zone verwendet

 

Die automatische Intranet-Erkennung

image

 

Entgegen mancher Annahme wird z.B. nicht die IP anhand ihres Subnetzes oder DNS/DHCP Eintrages bewertet. Dies würde einerseits Zeit kosten und andererseits wäre dies nicht zuverlässig genug.

Daher gibt es 3 konfigurierbare Regeln, die eine Intranetadresse auszeichnen:

  1. Alle Adressen, die nicht durch eine andere Regel einer Zone zugewiesen werden (vgl. Allgemein)
  2. Alle Adressen, die den Proxy Server umgehen, sei es durch ein proxy.pac/wpad script oder explizite Einträge in der Proxy-Ausnahmenliste
  3. Alle benutzten UNC Pfade

 

explizite Zonenzuweisungen

Zonen können (bzw. dürfen auf supportetem Weg) entweder

  1. manuell über das Internet Settings GUI eingetragen werden

    image
  2. über die “Site to zone assignment List” GPO

    image

    Wobei die “Value”s wie folgt einzutragen sind:
    1. entspricht “local intranet”
    2. entspricht “trusted sites”
    3. entspricht “internet”
    4. entspricht “restricted sites”

    Die genaue Beschreibung entnehmt bitte aus der Policybeschreibung.

  3. über die Internet Explorer Maintenance Policy

    image

    Bitte seid vorsichtig, wenn ihr diesen Weg wählt, denn hier werden tatsächlich die Settings der aktuellen Maschine in die Policy importiert. D.b. einerseits, dass die Zonen natürlich korrekt eingestellt sein müssen und andererseits, dass die IE Version die hierzu genutzt werden idealerweise der entspricht, für die auch das Setting gedacht ist (IE8<--->IE8)
  4. über IEAK (vgl. 2.)

eingestellt werden.

 

Ausnahme:

Angenommen eine HTML Datei wurde aus einer unsicheren Quelle (Internet Zone) auf ein lokales Laufwerk oder einen Share abgelegt, auf dem NTFS genutzt wird. In diesem Fall wird ein sog. Alternativer Datenstrom in der Datei gespeichert, welcher vermerkt, dass die Datei aus der Internet Zone stammt. Wenn dann diese Datei geöffnet wird, dann erkennt dies die urlmon.dll, welche für die Zonenzuweisungen verantwortlich ist, und weist dieser Datei dann auch die Internet Zone zu.

Da alternative Datenströme nicht über http übertragen werden, ist dies ein eher selten gesehenes Verhalten.

 

-Stephanus