本文介紹了如何使用 Active Directory 組策略 (GPO) 在運行 Windows 10 和 Windows Server 2019/2016/2012R2 的已加入域的計算機上配置代理設置。所有現代瀏覽器都使用這些代理服務器設置,包括 Internet Explorer 11、Google Chrome、新的基於 Chromium 的 Edge、Opera 和 Mozilla Firefox(默認啟用使用系統代理設置選項)。
如何通過組策略設置代理設置?
要在 Windows 10/Windows Server 2016/2019 計算機上管理瀏覽器的代理服務器設置,您可以使用組策略首選項 (GPP) 或 Internet Explorer 管理工具包 11 (IEAK 11)。要在 AD 域中用戶的計算機上通過 GPO 設置代理設置,請執行以下操作:
- 在運行 Windows 10 或 Windows Server 2016 的計算機上打開組策略管理控制台 (gpmc.msc);
- 選擇要為其應用新代理設置的Active Directory 組織單位 (OU)。在本例中,我們希望將代理設置策略應用於用戶 OU (OU=Users,OU=California,OU=USA,DC=theitbros,DC=com);
- 右鍵單擊 OU 並選擇在此域中創建 GPO 並將其鏈接到此處;
- 指定策略名稱,例如CA_Proxy;
- 單擊策略並選擇Edit;
- 展開以下部分:用戶配置>首選項>控制面板設置> Internet 設置。右鍵單擊並選擇新建> Internet Explorer 10(此策略也將應用於 IE 11);
注意。在以前版本的 Internet Explorer(6、7 和 9)中,您需要使用組策略編輯器控制台中的以下部分來配置 Internet Explorer 設置:用戶配置>策略> Windows 設置> Internet Explorer 維護。但是,在 Internet Explorer 10(首次出現在 Windows Server 2012 和 Windows 8 上)中,Internet Explorer 維護 (IEM)部分已從 GPO 編輯器中刪除。此外,在安裝 Internet Explorer 10 或 11 后,此部分在 Windows 7/Windows Server 2008 R2 中也消失了。如果您嘗試將 IEM 策略應用於裝有 IE 10 或 11 的計算機,它將不起作用;
- 在 Internet Explorer 設置的標准窗口中,轉到連接選項卡,然后按LAN 設置按鈕;
- 勾選“為您的 LAN 使用代理服務器”復選框並指定您的代理服務器的地址和端口(例如,192.168.1.11,端口 3128)。要啟用此選項,請按F6按鈕(該設置的下划線會將顏色從紅色更改為綠色)。要禁用特定的策略設置,請按F7(以這種方式禁用“自動檢測設置”選項)。
提示。IE 參數的綠色下划線表示此設置已啟用並將通過組策略應用。紅色下划線表示該設置已配置,但已禁用。要啟用當前選項卡上的所有設置,請按F5。要禁用此選項卡上的所有策略,請使用 F8 鍵。注意本地地址的繞過代理服務器選項。啟用此策略設置后,始終直接訪問本地資源,而不是通過代理服務器。Windows 會自動將 http://theitbros 格式的地址識別為本地地址,而 IE 在訪問它們時會繞過代理。但是需要注意的是,http://forum.theitbros.local 或 http://192.168.0.50 格式的地址無法被系統識別為本地地址。為了避免使用代理訪問此類資源,您需要使用策略為它們配置例外情況,不要為以(見下文)開頭的地址使用代理服務器;
- 如果您需要指定地址例外列表,請點擊高級。在字段不要為以指定 IP 地址或域列表開頭的地址使用代理服務器。例如:
192.*;*.theitbros.com
- 按 OK 兩次以保存設置。
注意。此規則僅適用於 Internet Explorer 10 和 Internet Explorer 11。對於較早的 IE 版本,您需要創建單獨的規則。
仍然需要更新客戶端計算機上的組策略設置(使用命令:gpupdate /force),並檢查 IE 中的代理設置(控制面板 > 網絡和 Internet > Internet 選項 > 連接 > LAN 設置)。
如果您希望根據用戶設備所在的 IP 子網將代理服務器設置應用於用戶,您可以使用 GPP 項目級別定位。為此,請切換到策略設置中的“通用”選項卡並選中“項目級定位”選項。單擊“定位”按鈕。
選擇新建項目> IP 地址范圍。指定子網中要為其應用代理設置的 IP 地址范圍。
保存策略設置。同樣,為不同的 IP 子網創建多個具有代理設置的 IE 策略。
因此,用戶的代理設置將根據他們工作的 IP 網絡(辦公室)應用(方便攜帶筆記本電腦的移動員工)。
提示。要從 Windows Server 2008/R2 配置新的 IE 策略,您需要下載Internet Explorer 管理模板,並將文件 Inetres.admx 和 Inetres.adml 復制到文件夾 %SYSTEMROOT%\PolicyDefinitions。
此外,您可以使用注冊表配置 IE 代理設置。展開 GPP 部分User Configuration > Preferences > Registry並在以下注冊表項中創建 3 個注冊表參數:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet 設置]:
- ProxyEnable (REG_DWORD) = 00000001;
- 代理服務器(REG_SZ) = 192.168.1.11:3128;
- ProxyOverride (REG_SZ) = 192.*;*.theitbros.com。
組策略中計算機的代理設置
默認情況下,IE 代理設置是針對每個用戶的。使用 GPO,您可以將代理設置應用於計算機的所有用戶。為此,請轉到 GPO 編輯器控制台中的以下部分:計算機配置>管理模板> Windows 組件> Internet Explorer。啟用策略為每台機器(而不是每用戶)進行代理設置。
注意。可以通過注冊表啟用相同的設置:
REG 鍵:HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
DWORD 參數:ProxySettingsPerUser = 0
要將設置應用到計算機對象,還需要在計算機配置 > 策略 > 管理模板 > 系統 > 組策略下啟用配置用戶組策略環回處理模式的策略。
如何通過 GPO 應用 WinHTTP 代理設置?
默認情況下,WinHTTP 服務不使用 Internet Explorer 中配置的代理設置。因此,某些系統服務(包括 Windows 更新服務:Wusserv)將無法訪問 Internet。
使用以下命令檢查當前的 WinHTTP 代理設置:
netsh.exe winhttp 顯示代理
當前 WinHTTP 代理設置:
直接訪問(無代理服務器)。
要通過 GPO 為計算機啟用 WinHTTP 代理,您必須配置一個特殊的注冊表參數。
首先,您需要在參考計算機上為 WinHTTP 配置代理。最簡單的方法是從 IE 導入代理設置:
netsh winhttp 導入代理源=ie
這些設置將保存在注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections下的WinHttpSettings參數中。
現在打開您的代理 GPO 並轉到“計算機配置” > “首選項” >“ Windows 設置” >“注冊表” >“新建” >“注冊表向導”。
選擇本地計算機並指定WinHttpSettings參數的完整路徑。
仍然需要單擊完成,更新計算機上的策略,並確保成功應用 WinHTTP 代理設置。
如何防止用戶更改瀏覽器中的代理設置?
默認情況下,如果您通過 GPO 在 Windows 中配置代理服務器設置,計算機用戶可以自己更改代理設置。
請注意,可以使用 IE 選項和現代設置控制面板編輯 Windows 中的代理設置。
您可以使用“阻止更改代理設置”附加 GPO 選項來阻止用戶更改 Windows 中的代理設置。此參數存在於用戶和計算機 GPO 部分。
- 計算機配置 > 策略 > 管理模板 > Windows 組件 – Internet Explorer
- 用戶配置 > 策略 > 管理模板 > Windows 組件 Internet Explorer
如果啟用此策略並將其應用於域計算機,則 Windows 中具有代理設置的字段將被阻止,並且標題將顯示在下面:某些設置由您的系統管理員管理。
提示。計算機配置部分中的設置優先於用戶設置。
通常,您希望使用更靈活的方式授予更改計算機上的代理設置的權限。例如,您可以限制除ca_workstation_admins 域安全組成員之外的所有用戶的代理設置。
- 使用代理設置創建一個新的 GPO(或編輯現有的);
- 轉到組策略首選項(用戶配置>首選項> Windows 設置>注冊表)並創建兩個注冊表值:
第一個參數禁止更改代理設置:
蜂巢:HKEY_CURRENT_USER
密鑰路徑:Software\Policies\Microsoft\Internet Explorer\Control Panel
值名稱:代理
值類型:REG_DWORD
數值數據:00000001
第二個參數通過代理設置阻止 IE 窗口的啟動:
蜂巢:HKEY_CURRENT_USER
密鑰路徑:Software\Policies\Microsoft\Internet Explorer\Restrictions
值名稱:NoBrowserOptions
值類型:REG_DWORD
數值數據:00000001
- 這些政策將適用於所有計算機用戶;
- 為了防止策略應用於特定的安全組,需要復制這兩個參數,設置一個更大的 Order,並將它們的值更改為00000000;
- 然后打開這兩個注冊表設置各自的屬性,進入Common > Item level Targeting > Targeting;
- 創建nem定位規則:新建>安全組>提供組名(ca_workstation_admins);
- 為第二個注冊表參數創建一個類似的目標規則;
- 因此,如果來自指定組的用戶登錄到計算機,則不會阻止他的代理設置。
