Windows Server 2019 AD 使用組策略控制上網頁。 在 Windows 10/Windows Server 2016 上通過 GPO 配置代理設定
本文介紹瞭如何使用 Active Directory 組策略 (GPO) 在執行 Windows 10 和 Windows Server 2019/2016/2012R2 的已加入域的計算機上配置代理設定。所有現代瀏覽器都使用這些代理伺服器設定,包括 Internet Explorer 11、Google Chrome、新的基於 Chromium 的 Edge、Opera 和 Mozilla Firefox(預設啟用使用系統代理設定選項)。
如何通過組策略設定代理設定?
要在 Windows 10/Windows Server 2016/2019 計算機上管理瀏覽器的代理伺服器設定,您可以使用組策略首選項 (GPP) 或 Internet Explorer 管理工具包 11 (IEAK 11)。
- 在執行 Windows 10 或 Windows Server 2016 的計算機上開啟組策略管理控制檯 (gpmc.msc);
- 選擇要為其應用新代理設定的Active Directory 組織單位 (OU)。在本例中,我們希望將代理設定策略應用於使用者 OU (OU=Users,OU=California,OU=USA,DC=theitbros,DC=com);
- 右鍵單擊 OU 並選擇在此域中建立 GPO 並將其連結到此處;
- 指定策略名稱,例如CA_Proxy;
- 單擊策略並選擇Edit;
- 展開以下部分:使用者配置>
注意。在以前版本的 Internet Explorer(6、7 和 9)中,您需要使用組策略編輯器控制檯中的以下部分來配置 Internet Explorer 設定:使用者配置>策略>Windows 設定>Internet Explorer 維護。但是,在 Internet Explorer 10(首次出現在 Windows Server 2012 和 Windows 8 上)中,Internet Explorer 維護 (IEM) - 在 Internet Explorer 設定的標準視窗中,轉到連線選項卡,然後按LAN 設定按鈕;
- 勾選“為您的 LAN 使用代理伺服器”複選框並指定您的代理伺服器的地址和埠(例如,192.168.1.11,埠 3128)。要啟用此選項,請按F6按鈕(該設定的下劃線會將顏色從紅色更改為綠色)。要禁用特定的策略設定,請按F7(以這種方式禁用“自動檢測設定”選項)。
提示。IE 引數的綠色下劃線表示此設定已啟用並將通過組策略應用。紅色下劃線表示該設定已配置,但已禁用。要啟用當前選項卡上的所有設定,請按F5。要禁用此選項卡上的所有策略,請使用 F8 鍵。注意本地地址的繞過代理伺服器選項。啟用此策略設定後,始終直接訪問本地資源,而不是通過代理伺服器。Windows 會自動將 http://theitbros 格式的地址識別為本地地址,而 IE 在訪問它們時會繞過代理。但是需要注意的是,http://forum.theitbros.local 或 http://192.168.0.50 格式的地址無法被系統識別為本地地址。為了避免使用代理訪問此類資源,您需要使用策略為它們配置例外情況,不要為以(見下文)開頭的地址使用代理伺服器;
- 如果您需要指定地址例外列表,請點選高階。在欄位不要為以指定 IP 地址或域列表開頭的地址使用代理伺服器。例如:
192.*;*.theitbros.com
- 按 OK 兩次以儲存設定。
注意。此規則僅適用於 Internet Explorer 10 和 Internet Explorer 11。對於較早的 IE 版本,您需要建立單獨的規則。
仍然需要更新客戶端計算機上的組策略設定(使用命令:gpupdate /force),並檢查 IE 中的代理設定(控制面板 > 網路和 Internet > Internet 選項 > 連線 > LAN 設定)。
如果您希望根據使用者裝置所在的 IP 子網將代理伺服器設定應用於使用者,您可以使用 GPP 專案級別定位。為此,請切換到策略設定中的“通用”選項卡並選中“專案級定位”選項。單擊“定位”按鈕。
選擇新建專案>IP 地址範圍。指定子網中要為其應用代理設定的 IP 地址範圍。
儲存策略設定。同樣,為不同的 IP 子網建立多個具有代理設定的 IE 策略。
因此,使用者的代理設定將根據他們工作的 IP 網路(辦公室)應用(方便攜帶膝上型電腦的移動員工)。
提示。要從 Windows Server 2008/R2 配置新的 IE 策略,您需要下載Internet Explorer 管理模板,並將檔案 Inetres.admx 和 Inetres.adml 複製到資料夾 %SYSTEMROOT%\PolicyDefinitions。
此外,您可以使用登錄檔配置 IE 代理設定。展開 GPP 部分User Configuration>Preferences>Registry並在以下注冊表項中建立 3 個登錄檔引數:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet 設定]:
- ProxyEnable(REG_DWORD) = 00000001;
- 代理伺服器(REG_SZ) = 192.168.1.11:3128;
- ProxyOverride(REG_SZ) = 192.*;*.theitbros.com。
組策略中計算機的代理設定
預設情況下,IE 代理設定是針對每個使用者的。使用 GPO,您可以將代理設定應用於計算機的所有使用者。為此,請轉到 GPO 編輯器控制檯中的以下部分:計算機配置>管理模板>Windows 元件>Internet Explorer。啟用策略為每臺機器(而不是每使用者)進行代理設定。
注意。可以通過登錄檔啟用相同的設定:
REG 鍵:HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
DWORD 引數:ProxySettingsPerUser = 0
要將設定應用到計算機物件,還需要在計算機配置 > 策略 > 管理模板 > 系統 > 組策略下啟用配置使用者組策略環回處理模式的策略。
如何通過 GPO 應用 WinHTTP 代理設定?
預設情況下,WinHTTP 服務不使用 Internet Explorer 中配置的代理設定。因此,某些系統服務(包括 Windows 更新服務:Wusserv)將無法訪問 Internet。
使用以下命令檢查當前的 WinHTTP 代理設定:
netsh.exe winhttp 顯示代理
當前 WinHTTP 代理設定:
直接訪問(無代理伺服器)。
要通過 GPO 為計算機啟用 WinHTTP 代理,您必須配置一個特殊的登錄檔引數。
首先,您需要在參考計算機上為 WinHTTP 配置代理。最簡單的方法是從 IE 匯入代理設定:
netsh winhttp 匯入代理源=ie
這些設定將儲存在登錄檔項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections下的WinHttpSettings引數中。
現在開啟您的代理 GPO 並轉到“計算機配置”>“首選項”>“Windows 設定”>“登錄檔”>“新建”>“登錄檔嚮導”。
選擇本地計算機並指定WinHttpSettings引數的完整路徑。
仍然需要單擊完成,更新計算機上的策略,並確保成功應用 WinHTTP 代理設定。
如何防止使用者更改瀏覽器中的代理設定?
預設情況下,如果您通過 GPO 在 Windows 中配置代理伺服器設定,計算機使用者可以自己更改代理設定。
請注意,可以使用 IE 選項和現代設定控制面板編輯 Windows 中的代理設定。
您可以使用“阻止更改代理設定”附加 GPO 選項來阻止使用者更改 Windows 中的代理設定。此引數存在於使用者和計算機 GPO 部分。
- 計算機配置 > 策略 > 管理模板 > Windows 元件 – Internet Explorer
- 使用者配置 > 策略 > 管理模板 > Windows 元件 Internet Explorer
如果啟用此策略並將其應用於域計算機,則 Windows 中具有代理設定的欄位將被阻止,並且標題將顯示在下面:某些設定由您的系統管理員管理。
提示。計算機配置部分中的設定優先於使用者設定。
通常,您希望使用更靈活的方式授予更改計算機上的代理設定的許可權。例如,您可以限制除ca_workstation_admins域安全組成員之外的所有使用者的代理設定。
- 使用代理設定建立一個新的 GPO(或編輯現有的);
- 轉到組策略首選項(使用者配置>首選項>Windows 設定>登錄檔)並建立兩個登錄檔值:
第一個引數禁止更改代理設定:
蜂巢:HKEY_CURRENT_USER
金鑰路徑:Software\Policies\Microsoft\Internet Explorer\Control Panel
值名稱:代理
值型別:REG_DWORD
數值資料:00000001
第二個引數通過代理設定阻止 IE 視窗的啟動:
蜂巢:HKEY_CURRENT_USER
金鑰路徑:Software\Policies\Microsoft\Internet Explorer\Restrictions
值名稱:NoBrowserOptions
值型別:REG_DWORD
數值資料:00000001
- 這些政策將適用於所有計算機使用者;
- 為了防止策略應用於特定的安全組,需要複製這兩個引數,設定一個更大的 Order,並將它們的值更改為00000000;
- 然後開啟這兩個登錄檔設定各自的屬性,進入Common > Item level Targeting > Targeting;
- 建立nem定位規則:新建>安全組>提供組名(ca_workstation_admins);
- 為第二個登錄檔引數建立一個類似的目標規則;
- 因此,如果來自指定組的使用者登入到計算機,則不會阻止他的代理設定。