Implementazione JRE di tempra - webjava

1

Sto provando a configurare alcune impostazioni di implementazione consolidate per Java per i computer degli utenti finali sulla mia rete.

Ho configurato i file di configurazione e di configurazione del mio sistema:

  • % windir% \ Sun \ Java \ Deployment \ deployment.config (punta al file sottostante)
  • % windir% \ Sun \ Java \ Deployment \ deployment.properties

Ai fini di questa discussione, il contenuto di deployment.properties è:

  • deployment.webjava.enabled=false
  • # deployment.webjava.enabled.locked (commented out)

Il mio obiettivo è disabilitare webjava per impostazione predefinita e forzare gli utenti finali ad abilitarlo se necessario. Quindi al riavvio o al prossimo carico mi aspetto che il sistema torni di default allo stato disabilitato. Tuttavia, ho scoperto che una volta che l'utente lo abilita, a meno che il file delle proprietà di distribuzione non venga modificato di nuovo, l'impostazione non verrà più letta indipendentemente dal riavvio, ecc.

Mi rendo conto che potrei annullare il commento di questo # deployment.webjava.enabled.locked (commented out) e andrebbe bene, ma l'utente finale non potrebbe quindi modificare se necessario.

Domanda: Qualcun altro ha avuto successo con la configurazione di webjava nelle impostazioni di distribuzione mentre sto tentando o ha altri feedback con l'hardening del jre per gli utenti finali?

References:

UPDATE: Brandon - grazie per il tuo contributo. Sì, hai ragione, questo è un lavoro in giro. Potremmo impostarlo in modo tale che al successivo gpupate (ad esempio login) l'impostazione ritorni a disabilitata. Il pannello di controllo Java ha un comportamento strano che se questa impostazione del Registro di sistema viene impostata all'esterno del pannello di controllo, la prossima volta che si apre il pannello di controllo l'impostazione verrà letta da un'altra parte (le impostazioni predefinite non sono a conoscenza) e quindi appariranno come quelli l'impostazione è ancora 'abilitata'. Infatti il registro viene aggiornato a "abilitato" (in virtù dell'eliminazione della voce di registro che abbiamo creato) semplicemente aprendo il pannello di controllo e nemmeno facendo clic su Applica o OK. Un comportamento strano in effetti, ma immagino che ci porti ancora all'obiettivo desiderato. Ci vorrà un po 'più di allenamento con gli utenti finali a causa della confusa visualizzazione delle impostazioni nel pannello di controllo. Ma poi di nuovo, qualsiasi cosa stavo per fare avrebbe richiesto una formazione per l'utente finale.

    
posta guest654321 08.04.2013 - 19:32
fonte

1 risposta

1

Sono un po 'sorpreso dal comportamento che stai vedendo, ma ho una soluzione alternativa suggerita. In particolare, la chiave di registro HKCU\Software\AppDataLow\Software\JavaSoft\DeploymentProperties\deployment.webjava.enabled è responsabile del controllo delle impostazioni di configurazione. L'oggetto Criteri di gruppo può impostare banalmente questo valore e le autorizzazioni su di esso per garantire che gli utenti finali dispongano dei diritti per abilitare la funzionalità. Vedi questo post tecnico su custom modifiche al Registro di sistema tramite oggetto Criteri di gruppo.

Seguendo questa rotta, ti assicuri che la funzione sia disabilitata durante l'applicazione di oggetti Criteri di gruppo durante l'accesso.

    
risposta data 09.04.2013 - 03:30
fonte

Leggi altre domande sui tag