Problem
Po aktualizacjach Windows 11:
- brak podglądu PDF/DOCX/XLSX na udziale sieciowym
- komunikat: „Plik może być szkodliwy”
- pliki pobrane z internetu są blokowane
- podgląd działa lokalnie, ale nie na NAS / SMB
To nie jest bug, tylko zaostrzone zabezpieczenia Microsoft (MOTW + strefy zabezpieczeń).
Poniżej kompletne, produkcyjne rozwiązanie:
- GPO (wyłączenie zapisu strefy)
- dodanie serwera do Intranetu
- czyszczenie starych plików PowerShellem
- automatyzacja dla użytkowników
KROK 1 – Wyłączenie zapisu strefy (MOTW) przez GPO
Cel: nowe pliki nie dostają Zone.Identifier.
Ścieżka w GPO:
Konfiguracja użytkownika → Preferencje → Ustawienia systemu Windows → Rejestr
Utwórz Nowy → Element rejestru:
| Ustawienie | Wartość / Ścieżka |
|---|---|
| Akcja | Utwórz |
| Gałąź | HKEY_CURRENT_USER |
| Ścieżka klucza | Software\Microsoft\Windows\CurrentVersion\Policies\Attachments |
| Nazwa wartości | SaveZoneInformation |
| Typ | REG_DWORD |
| Dane | 1 |
To odpowiada polityce: „Nie zachowuj informacji o strefie w załącznikach”.
Efekt: nowe pliki z internetu nie są blokowane, nie ma „Odblokuj”, podgląd działa.
KROK 2 – Dodanie serwera do strefy Intranet (GPO)
Jeśli tego nie zrobisz, Windows nadal będzie traktował NAS jako Internet.
Ścieżka w GPO:
Konfiguracja użytkownika → Zasady → Szablony administracyjne → Składniki systemu Windows → Internet Explorer → Panel sterowania Internetu → Strona zabezpieczeń → Lista przypisywania witryn do stref
Ustaw: Włączone. Kliknij Pokaż… i dodaj:
| Nazwa wartości (Adres) | Dane (Strefa) |
|---|---|
192.168.1.10 |
1 (1 = Intranet lokalny) |
Dodatkowo (bardzo ważne przy SMB):
W tym samym miejscu ustaw:
Witryny intranetowe: uwzględniaj wszystkie ścieżki sieciowe (UNC) → Włączone
KROK 3 – Wymuszenie polityk
Na stacji roboczej:
| Polecenie | gpupdate /force |
Następnie: WYLOGUJ / ZALOGUJ użytkownika.
KROK 4 – Czyszczenie istniejących plików na udziale (PowerShell)
Nowe pliki będą OK, ale stare nadal mają Zone.Identifier. Trzeba je wyczyścić.
Dla udziału: \\192.168.1.10\wspolny
Uruchom PowerShell jako administrator:
| Kod |
Get-ChildItem "\\192.168.1.10\wspolny" -Recurse -Include *.pdf,*.docx,*.xlsx,*.pptx -File -Force -ErrorAction SilentlyContinue | Unblock-File -ErrorAction SilentlyContinue
|
To: przeleci cały udział, usunie Zone.Identifier, przywróci podgląd u wszystkich.
KROK 5 – Skrypt dla profilu użytkownika (Downloads / Pulpit / Dokumenty)
Plik: gdy_brak_podgladu.ps1
| Zawartość |
$paths = @( "$env:USERPROFILE\Downloads", "$env:USERPROFILE\Desktop", "$env:USERPROFILE\Documents" )foreach ($p in $paths) { if (Test-Path $p) { Get-ChildItem $p -Recurse -File -Force -ErrorAction SilentlyContinue | Unblock-File -ErrorAction SilentlyContinue } }
|
Ten skrypt: działa tylko w kontekście usera, czyści jego lokalne katalogi, nie dotyka systemu.
KROK 6 – Uruchamianie skryptu automatycznie (Startup przez GPO)
Chcemy, żeby skrypt: wykonał się przy logowaniu, bez klikania, jako USER (nie SYSTEM).
1. Umieść plik CMD
| Lokalizacja | \\192.168.1.10\wspolny\IT\gpo\Napraw_podglad.cmd |
| Zawartość |
@echo off powershell.exe -NoProfile -ExecutionPolicy Bypass -File "\\192.168.1.10\wspolny\IT\gpo\gdy_brak_podgladu.ps1"
|
2. GPO → kopiowanie do Autostart
Ścieżka:
Konfiguracja użytkownika → Preferencje → Ustawienia systemu Windows → Pliki
Nowy → Plik. Ustaw:
| Opcja | Ustawienie |
|---|---|
| Akcja | Utwórz |
| Plik źródłowy | \\192.168.1.10\wspolny\IT\gpo\Napraw_podglad.cmd |
| Plik docelowy | %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Napraw_podglad.cmd |
Wymuszenie: gpupdate /force, Wyloguj / zaloguj usera.
Efekt: skrypt uruchomi się przy logowaniu, wyczyści katalogi, zamknie się, user nic nie klika.
KROK 7 – Weryfikacja
| Element | Wartość / Działanie |
|---|---|
| Rejestr (Polecenie) |
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments /v SaveZoneInformation |
| Rejestr (Wynik) |
REG_DWORD 0x1 |
| Strefy | Panel sterowania → Opcje internetowe → Zabezpieczenia → Intranet lokalny → Witryny. Serwer 192.168.1.10 musi być widoczny. |
| Test | Otwórz: \\192.168.1.10\wspolnyKliknij PDF Nie ma komunikatu. Podgląd działa. |
