Windows Server 2019 AD 使用组策略控制上网页。 在 Windows 10/Windows Server 2016 上通过 GPO 配置代理设置

本文介绍了如何使用 Active Directory 组策略 (GPO) 在运行 Windows 10 和 Windows Server 2019/2016/2012R2 的已加入域的计算机上配置代理设置。所有现代浏览器都使用这些代理服务器设置,包括 Internet Explorer 11、Google Chrome、新的基于 Chromium 的 Edge、Opera 和 Mozilla Firefox(默认启用使用系统代理设置选项)。

 

如何通过组策略设置代理设置?

要在 Windows 10/Windows Server 2016/2019 计算机上管理浏览器的代理服务器设置,您可以使用组策略首选项 (GPP) 或 Internet Explorer 管理工具包 11 (IEAK 11)。要在 AD 域中用户的计算机上通过 GPO 设置代理设置,请执行以下操作:

  1. 在运行 Windows 10 或 Windows Server 2016 的计算机上打开组策略管理控制台 (gpmc.msc);
  2. 选择要为其应用新代理设置Active Directory 组织单位 (OU)在本例中,我们希望将代理设置策略应用于用户 OU (OU=Users,OU=California,OU=USA,DC=theitbros,DC=com);
  3. 右键单击 OU 并选择在此域中创建 GPO 并将其链接到此处gpo 代理设置
  4. 指定策略名称,例如CA_ProxyWindows 10 代理设置 gpo
  5. 单击策略并选择Edit
    gpo代理
  6. 展开以下部分:用户配置>首选项>控制面板设置Internet 设置右键单击并选择新建Internet Explorer 10(此策略也将应用于 IE 11);
    注意在以前版本的 Internet Explorer(6、7 和 9)中,您需要使用组策略编辑器控制台中的以下部分来配置 Internet Explorer 设置:用户配置>策略Windows 设置Internet Explorer 维护但是,在 Internet Explorer 10(首次出现在 Windows Server 2012 和 Windows 8 上)中,Internet Explorer 维护 (IEM)部分已从 GPO 编辑器中删除。此外,在安装 Internet Explorer 10 或 11 后,此部分在 Windows 7/Windows Server 2008 R2 中也消失了。如果您尝试将 IEM 策略应用于装有 IE 10 或 11 的计算机,它将不起作用;gpo 代理设置 Windows 10
  7. 在 Internet Explorer 设置的标准窗口中,转到连接选项卡,然后按LAN 设置按钮;gpo 代理 Windows 10
  8. 勾选“为您的 LAN 使用代理服务器”复选框并指定您的代理服务器地址端口(例如,192.168.1.11,端口 3128)。要启用此选项,请按F6按钮(该设置的下划线会将颜色从红色更改为绿色)。要禁用特定的策略设置,请按F7(以这种方式禁用“自动检测设置”选项)。

    提示IE 参数的绿色下划线表示此设置已启用并将通过组策略应用。红色下划线表示该设置已配置,但已禁用。要启用当前选项卡上的所有设置,请按F5要禁用此选项卡上的所有策略,请使用 F8 键。注意本地地址绕过代理服务器选项。启用此策略设置后,始终直接访问本地资源,而不是通过代理服务器。Windows 会自动将 http://theitbros 格式的地址识别为本地地址,而 IE 在访问它们时会绕过代理。但是需要注意的是,http://forum.theitbros.local 或 http://192.168.0.50 格式的地址无法被系统识别为本地地址。为了避免使用代理访问此类资源,您需要使用策略为它们配置例外情况,不要为以(见下文)开头的地址使用代理服务器代理设置 gpo

  9. 如果您需要指定地址例外列表,请点击高级在字段不要为以指定 IP 地址或域列表开头的地址使用代理服务器例如: 
    192.*;*.theitbros.com

    Windows 10 gpo 代理设置

  10. 按 OK 两次以保存设置。

注意此规则仅适用于 Internet Explorer 10 和 Internet Explorer 11。对于较早的 IE 版本,您需要创建单独的规则。

仍然需要更新客户端计算机上的组策略设置(使用命令:gpupdate /force),并检查 IE 中的代理设置(控制面板 > 网络和 Internet > Internet 选项 > 连接 > LAN 设置)。

 

组策略代理设置

如果您希望根据用户设备所在的 IP 子网将代理服务器设置应用于用户,您可以使用 GPP 项目级别定位。为此,请切换到策略设置中的通用”选项卡并选中“项目级定位”选项。单击“定位”按钮。

 

代理 gpo

选择新建项目IP 地址范围指定子网中要为其应用代理设置的 IP 地址范围。

Windows 10 组策略代理设置

 

保存策略设置。同样,为不同的 IP 子网创建多个具有代理设置的 IE 策略。

Windows 10 代理 gpo

 

因此,用户的代理设置将根据他们工作的 IP 网络(办公室)应用(方便携带笔记本电脑的移动员工)。

提示要从 Windows Server 2008/R2 配置新的 IE 策略,您需要下载Internet Explorer 管理模板,并将文件 Inetres.admx 和 Inetres.adml 复制到文件夹 %SYSTEMROOT%\PolicyDefinitions。

此外,您可以使用注册表配置 IE 代理设置。展开 GPP 部分User Configuration > Preferences > Registry并在以下注册表项中创建 3 个注册表参数:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet 设置]:

  • ProxyEnable (REG_DWORD) = 00000001;
  • 代理服务器(REG_SZ) = 192.168.1.11:3128;
  • ProxyOverride (REG_SZ) = 192.*;*.theitbros.com。

gpo 设置代理

组策略中计算机的代理设置

默认情况下,IE 代理设置是针对每个用户的。使用 GPO,您可以将代理设置应用于计算机的所有用户。为此,请转到 GPO 编辑器控制台中的以下部分:计算机配置>管理模板Windows 组件Internet Explorer启用策略为每台机器(而不是每用户)进行代理设置

 

注意可以通过注册表启用相同的设置:

REG 键:HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
DWORD 参数:ProxySettingsPerUser = 0

gpo Windows 10 代理设置

 

要将设置应用到计算机对象,还需要在计算机配置 > 策略 > 管理模板 > 系统 > 组策略下启用配置用户组策略环回处理模式的策略。

如何通过 GPO 应用 WinHTTP 代理设置?

默认情况下,WinHTTP 服务不使用 Internet Explorer 中配置的代理设置。因此,某些系统服务(包括 Windows 更新服务:Wusserv)将无法访问 Internet。

使用以下命令检查当前的 WinHTTP 代理设置:

netsh.exe winhttp 显示代理

gpedit 代理设置

 

当前 WinHTTP 代理设置:

直接访问(无代理服务器)。

要通过 GPO 为计算机启用 WinHTTP 代理,您必须配置一个特殊的注册表参数。

首先,您需要在参考计算机上为 WinHTTP 配置代理。最简单的方法是从 IE 导入代理设置:

netsh winhttp 导入代理源=ie

设置代理 gpo

这些设置将保存在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ConnectionsWinHttpSettings参数中

 

gpo代理设置电脑配置

 

现在打开您的代理 GPO 并转到“计算机配置” > “首选项” >“ Windows 设置” >“注册表” >“新建” >“注册表向导”

选择本地计算机并指定WinHttpSettings参数的完整路径

代理 gpo Windows 10

仍然需要单击完成,更新计算机上的策略,并确保成功应用 WinHTTP 代理设置。

如何防止用户更改浏览器中的代理设置?

默认情况下,如果您通过 GPO 在 Windows 中配置代理服务器设置,计算机用户可以自己更改代理设置。

 

请注意,可以使用 IE 选项和现代设置控制面板编辑 Windows 中的代理设置。

组策略代理

 

您可以使用“阻止更改代理设置”附加 GPO 选项来阻止用户更改 Windows 中的代理设置此参数存在于用户和计算机 GPO 部分。

  • 计算机配置 > 策略 > 管理模板 > Windows 组件 – Internet Explorer
  • 用户配置 > 策略 > 管理模板 > Windows 组件 Internet Explorer

gpo 代理 Windows Server 2016

如果启用此策略并将其应用于域计算机,则 Windows 中具有代理设置的字段将被阻止,并且标题将显示在下面:某些设置由您的系统管理员管理

 

Windows 10 gpo 代理

提示计算机配置部分中的设置优先于用户设置。

通常,您希望使用更灵活的方式授予更改​​计算机上的代理设置的权限。例如,您可以限制除ca_workstation_admins 域安全组成员之外的所有用户的代理设置

  1. 使用代理设置创建一个新的 GPO(或编辑现有的);
  2. 转到组策略首选项(用户配置>首选项Windows 设置>注册表)并创建两个注册表值:

第一个参数禁止更改代理设置:

蜂巢:HKEY_CURRENT_USER

密钥路径:Software\Policies\Microsoft\Internet Explorer\Control Panel

 
 

值名称:代理

值类型:REG_DWORD

数值数据:00000001

第二个参数通过代理设置阻止 IE 窗口的启动:

蜂巢:HKEY_CURRENT_USER

 

密钥路径:Software\Policies\Microsoft\Internet Explorer\Restrictions

值名称:NoBrowserOptions

值类型:REG_DWORD

 

数值数据:00000001

    1. 这些政策将适用于所有计算机用户;
    2. 为了防止策略应用于特定的安全组,需要复制这两个参数,设置一个更大的 Order,并将它们的值更改为00000000
    3. 然后打开这两个注册表设置各自的属性,进入Common > Item level Targeting > Targeting;
    4. 创建nem定位规则:新建>安全组>提供组名(ca_workstation_admins);
      组策略代理设置服务器 2016
    5. 为第二个注册表参数创建一个类似的目标规则;
    6. 因此,如果来自指定组的用户登录到计算机,则不会阻止他的代理设置。

 

 

 

 

 

 

 

 

 

 

 

posted on 2021-07-02 10:33  stoneyeung  阅读(5022)  评论(0编辑  收藏  举报

导航