本文介紹瞭如何使用 Active Directory 組策略 (GPO) 在執行 Windows 10 和 Windows Server 2019/2016/2012R2 的已加入域的計算機上配置代理設定。所有現代瀏覽器都使用這些代理伺服器設定，包括 Internet Explorer 11、Google Chrome、新的基於 Chromium 的 Edge、Opera 和 Mozilla Firefox（預設啟用使用系統代理設定選項）。

如何通過組策略設定代理設定？

要在 Windows 10/Windows Server 2016/2019 計算機上管理瀏覽器的代理伺服器設定，您可以使用組策略首選項 (GPP) 或 Internet Explorer 管理工具包 11 (IEAK 11)。

1. 在執行 Windows 10 或 Windows Server 2016 的計算機上開啟組策略管理控制檯 (gpmc.msc)；
2. 選擇要為其應用新代理設定的Active Directory 組織單位 (OU)。在本例中，我們希望將代理設定策略應用於使用者 OU (OU=Users,OU=California,OU=USA,DC=theitbros,DC=com)；
3. 右鍵單擊 OU 並選擇在此域中建立 GPO 並將其連結到此處；
4. 指定策略名稱，例如CA_Proxy；
5. 單擊策略並選擇Edit；
   
6. 展開以下部分：使用者配置>
   首選項>控制面板設定>Internet 設定。右鍵單擊並選擇新建>Internet Explorer 10（此策略也將應用於 IE 11）；
   注意。在以前版本的 Internet Explorer（6、7 和 9）中，您需要使用組策略編輯器控制檯中的以下部分來配置 Internet Explorer 設定：使用者配置>策略>Windows 設定>Internet Explorer 維護。但是，在 Internet Explorer 10（首次出現在 Windows Server 2012 和 Windows 8 上）中，Internet Explorer 維護 (IEM)
   部分已從 GPO 編輯器中刪除。此外，在安裝 Internet Explorer 10 或 11 後，此部分在 Windows 7/Windows Server 2008 R2 中也消失了。如果您嘗試將 IEM 策略應用於裝有 IE 10 或 11 的計算機，它將不起作用；
7. 在 Internet Explorer 設定的標準視窗中，轉到連線選項卡，然後按LAN 設定按鈕；
8. 勾選“為您的 LAN 使用代理伺服器”複選框並指定您的代理伺服器的地址和埠（例如，192.168.1.11，埠 3128）。要啟用此選項，請按F6按鈕（該設定的下劃線會將顏色從紅色更改為綠色）。要禁用特定的策略設定，請按F7（以這種方式禁用“自動檢測設定”選項）。
   

   提示。IE 引數的綠色下劃線表示此設定已啟用並將通過組策略應用。紅色下劃線表示該設定已配置，但已禁用。要啟用當前選項卡上的所有設定，請按F5。要禁用此選項卡上的所有策略，請使用 F8 鍵。注意本地地址的繞過代理伺服器選項。啟用此策略設定後，始終直接訪問本地資源，而不是通過代理伺服器。Windows 會自動將 http://theitbros 格式的地址識別為本地地址，而 IE 在訪問它們時會繞過代理。但是需要注意的是，http://forum.theitbros.local 或 http://192.168.0.50 格式的地址無法被系統識別為本地地址。為了避免使用代理訪問此類資源，您需要使用策略為它們配置例外情況，不要為以（見下文）開頭的地址使用代理伺服器；

9. 如果您需要指定地址例外列表，請點選高階。在欄位不要為以指定 IP 地址或域列表開頭的地址使用代理伺服器。例如：

   192.*;*.theitbros.com

10. 按 OK 兩次以儲存設定。

注意。此規則僅適用於 Internet Explorer 10 和 Internet Explorer 11。對於較早的 IE 版本，您需要建立單獨的規則。

仍然需要更新客戶端計算機上的組策略設定（使用命令：gpupdate /force），並檢查 IE 中的代理設定（控制面板 > 網路和 Internet > Internet 選項 > 連線 > LAN 設定）。

如果您希望根據使用者裝置所在的 IP 子網將代理伺服器設定應用於使用者，您可以使用 GPP 專案級別定位。為此，請切換到策略設定中的“通用”選項卡並選中“專案級定位”選項。單擊“定位”按鈕。

選擇新建專案>IP 地址範圍。指定子網中要為其應用代理設定的 IP 地址範圍。

儲存策略設定。同樣，為不同的 IP 子網建立多個具有代理設定的 IE 策略。

因此，使用者的代理設定將根據他們工作的 IP 網路（辦公室）應用（方便攜帶膝上型電腦的移動員工）。

提示。要從 Windows Server 2008/R2 配置新的 IE 策略，您需要下載Internet Explorer 管理模板，並將檔案 Inetres.admx 和 Inetres.adml 複製到資料夾 %SYSTEMROOT%\PolicyDefinitions。

此外，您可以使用登錄檔配置 IE 代理設定。展開 GPP 部分User Configuration>Preferences>Registry並在以下注冊表項中建立 3 個登錄檔引數：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet 設定]：

• ProxyEnable(REG_DWORD) = 00000001;
• 代理伺服器(REG_SZ) = 192.168.1.11:3128;
• ProxyOverride(REG_SZ) = 192.*;*.theitbros.com。

組策略中計算機的代理設定

預設情況下，IE 代理設定是針對每個使用者的。使用 GPO，您可以將代理設定應用於計算機的所有使用者。為此，請轉到 GPO 編輯器控制檯中的以下部分：計算機配置>管理模板>Windows 元件>Internet Explorer。啟用策略為每臺機器（而不是每使用者）進行代理設定。

注意。可以通過登錄檔啟用相同的設定：

REG 鍵：HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
DWORD 引數：ProxySettingsPerUser = 0

要將設定應用到計算機物件，還需要在計算機配置 > 策略 > 管理模板 > 系統 > 組策略下啟用配置使用者組策略環回處理模式的策略。

如何通過 GPO 應用 WinHTTP 代理設定？

預設情況下，WinHTTP 服務不使用 Internet Explorer 中配置的代理設定。因此，某些系統服務（包括 Windows 更新服務：Wusserv）將無法訪問 Internet。

使用以下命令檢查當前的 WinHTTP 代理設定：

netsh.exe winhttp 顯示代理

當前 WinHTTP 代理設定：

直接訪問（無代理伺服器）。

要通過 GPO 為計算機啟用 WinHTTP 代理，您必須配置一個特殊的登錄檔引數。

首先，您需要在參考計算機上為 WinHTTP 配置代理。最簡單的方法是從 IE 匯入代理設定：

netsh winhttp 匯入代理源=ie

這些設定將儲存在登錄檔項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections下的WinHttpSettings引數中。

現在開啟您的代理 GPO 並轉到“計算機配置”>“首選項”>“Windows 設定”>“登錄檔”>“新建”>“登錄檔嚮導”。

選擇本地計算機並指定WinHttpSettings引數的完整路徑。

仍然需要單擊完成，更新計算機上的策略，並確保成功應用 WinHTTP 代理設定。

如何防止使用者更改瀏覽器中的代理設定？

預設情況下，如果您通過 GPO 在 Windows 中配置代理伺服器設定，計算機使用者可以自己更改代理設定。

請注意，可以使用 IE 選項和現代設定控制面板編輯 Windows 中的代理設定。

您可以使用“阻止更改代理設定”附加 GPO 選項來阻止使用者更改 Windows 中的代理設定。此引數存在於使用者和計算機 GPO 部分。

• 計算機配置 > 策略 > 管理模板 > Windows 元件 – Internet Explorer
• 使用者配置 > 策略 > 管理模板 > Windows 元件 Internet Explorer

如果啟用此策略並將其應用於域計算機，則 Windows 中具有代理設定的欄位將被阻止，並且標題將顯示在下面：某些設定由您的系統管理員管理。

提示。計算機配置部分中的設定優先於使用者設定。

通常，您希望使用更靈活的方式授予更改​​計算機上的代理設定的許可權。例如，您可以限制除ca_workstation_admins域安全組成員之外的所有使用者的代理設定。

1. 使用代理設定建立一個新的 GPO（或編輯現有的）；
2. 轉到組策略首選項（使用者配置>首選項>Windows 設定>登錄檔）並建立兩個登錄檔值：

第一個引數禁止更改代理設定：

蜂巢：HKEY_CURRENT_USER

金鑰路徑：Software\Policies\Microsoft\Internet Explorer\Control Panel

值名稱：代理

值型別：REG_DWORD

數值資料：00000001

第二個引數通過代理設定阻止 IE 視窗的啟動：

蜂巢：HKEY_CURRENT_USER

金鑰路徑：Software\Policies\Microsoft\Internet Explorer\Restrictions

值名稱：NoBrowserOptions

值型別：REG_DWORD

數值資料：00000001

1. 這些政策將適用於所有計算機使用者；
2. 為了防止策略應用於特定的安全組，需要複製這兩個引數，設定一個更大的 Order，並將它們的值更改為00000000；
3. 然後開啟這兩個登錄檔設定各自的屬性，進入Common > Item level Targeting > Targeting；
4. 建立nem定位規則：新建>安全組>提供組名（ca_workstation_admins）；
   
5. 為第二個登錄檔引數建立一個類似的目標規則；
6. 因此，如果來自指定組的使用者登入到計算機，則不會阻止他的代理設定。