欢迎您访问 最编程 本站为您分享编程语言代码,编程技术文章!

热门搜索/Hot Search

您现在的位置是: 首页

如何使用组策略控制 Windows Server 2019 AD 上的上网访问? 如何通过 GPO 在 Windows 10/Windows Server 2016 上配置代理设置?

最编程 2024-01-10 07:08:10
...

本文介绍了如何使用 Active Directory 组策略 (GPO) 在运行 Windows 10 和 Windows Server 2019/2016/2012R2 的已加入域的计算机上配置代理设置。所有现代浏览器都使用这些代理服务器设置,包括 Internet Explorer 11、Google Chrome、新的基于 Chromium 的 Edge、Opera 和 Mozilla Firefox(默认启用使用系统代理设置选项)。

 

如何通过组策略设置代理设置?

要在 Windows 10/Windows Server 2016/2019 计算机上管理浏览器的代理服务器设置,您可以使用组策略首选项 (GPP) 或 Internet Explorer 管理工具包 11 (IEAK 11)。要在 AD 域中用户的计算机上通过 GPO 设置代理设置,请执行以下操作:

  1. 在运行 Windows 10 或 Windows Server 2016 的计算机上打开组策略管理控制台 (gpmc.msc);
  2. 选择要为其应用新代理设置Active Directory 组织单位 (OU)在本例中,我们希望将代理设置策略应用于用户 OU (OU=Users,OU=California,OU=USA,DC=theitbros,DC=com);
  3. 右键单击 OU 并选择在此域中创建 GPO 并将其链接到此处
  4. 指定策略名称,例如CA_Proxy
  5. 单击策略并选择Edit
  6. 展开以下部分:用户配置>首选项>控制面板设置Internet 设置右键单击并选择新建Internet Explorer 10(此策略也将应用于 IE 11);
    注意在以前版本的 Internet Explorer(6、7 和 9)中,您需要使用组策略编辑器控制台中的以下部分来配置 Internet Explorer 设置:用户配置>策略Windows 设置Internet Explorer 维护但是,在 Internet Explorer 10(首次出现在 Windows Server 2012 和 Windows 8 上)中,Internet Explorer 维护 (IEM)部分已从 GPO 编辑器中删除。此外,在安装 Internet Explorer 10 或 11 后,此部分在 Windows 7/Windows Server 2008 R2 中也消失了。如果您尝试将 IEM 策略应用于装有 IE 10 或 11 的计算机,它将不起作用;
  7. 在 Internet Explorer 设置的标准窗口中,转到连接选项卡,然后按LAN 设置按钮;
  8. 勾选“为您的 LAN 使用代理服务器”复选框并指定您的代理服务器地址端口(例如,192.168.1.11,端口 3128)。要启用此选项,请按F6按钮(该设置的下划线会将颜色从红色更改为绿色)。要禁用特定的策略设置,请按F7(以这种方式禁用“自动检测设置”选项)。

    提示IE 参数的绿色下划线表示此设置已启用并将通过组策略应用。红色下划线表示该设置已配置,但已禁用。要启用当前选项卡上的所有设置,请按F5要禁用此选项卡上的所有策略,请使用 F8 键。注意本地地址绕过代理服务器选项。启用此策略设置后,始终直接访问本地资源,而不是通过代理服务器。Windows 会自动将 http://theitbros 格式的地址识别为本地地址,而 IE 在访问它们时会绕过代理。但是需要注意的是,http://forum.theitbros.local 或 http://192.168.0.50 格式的地址无法被系统识别为本地地址。为了避免使用代理访问此类资源,您需要使用策略为它们配置例外情况,不要为以(见下文)开头的地址使用代理服务器

  9. 如果您需要指定地址例外列表,请点击高级在字段不要为以指定 IP 地址或域列表开头的地址使用代理服务器例如: 
    192.*;*.theitbros.com
  10. 按 OK 两次以保存设置。

注意此规则仅适用于 Internet Explorer 10 和 Internet Explorer 11。对于较早的 IE 版本,您需要创建单独的规则。

仍然需要更新客户端计算机上的组策略设置(使用命令:gpupdate /force),并检查 IE 中的代理设置(控制面板 > 网络和 Internet > Internet 选项 > 连接 > LAN 设置)。

 

如果您希望根据用户设备所在的 IP 子网将代理服务器设置应用于用户,您可以使用 GPP 项目级别定位。为此,请切换到策略设置中的通用”选项卡并选中“项目级定位”选项。单击“定位”按钮。

 

选择新建项目IP 地址范围指定子网中要为其应用代理设置的 IP 地址范围。

 

保存策略设置。同样,为不同的 IP 子网创建多个具有代理设置的 IE 策略。

 

因此,用户的代理设置将根据他们工作的 IP 网络(办公室)应用(方便携带笔记本电脑的移动员工)。

提示要从 Windows Server 2008/R2 配置新的 IE 策略,您需要下载Internet Explorer 管理模板,并将文件 Inetres.admx 和 Inetres.adml 复制到文件夹 %SYSTEMROOT%\PolicyDefinitions。

此外,您可以使用注册表配置 IE 代理设置。展开 GPP 部分User Configuration > Preferences > Registry并在以下注册表项中创建 3 个注册表参数:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet 设置]:

  • ProxyEnable (REG_DWORD) = 00000001;
  • 代理服务器(REG_SZ) = 192.168.1.11:3128;
  • ProxyOverride (REG_SZ) = 192.*;*.theitbros.com。

组策略中计算机的代理设置

默认情况下,IE 代理设置是针对每个用户的。使用 GPO,您可以将代理设置应用于计算机的所有用户。为此,请转到 GPO 编辑器控制台中的以下部分:计算机配置>管理模板Windows 组件Internet Explorer启用策略为每台机器(而不是每用户)进行代理设置

 

注意可以通过注册表启用相同的设置:

REG 键:HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
DWORD 参数:ProxySettingsPerUser = 0

 

要将设置应用到计算机对象,还需要在计算机配置 > 策略 > 管理模板 > 系统 > 组策略下启用配置用户组策略环回处理模式的策略。

如何通过 GPO 应用 WinHTTP 代理设置?

默认情况下,WinHTTP 服务不使用 Internet Explorer 中配置的代理设置。因此,某些系统服务(包括 Windows 更新服务:Wusserv)将无法访问 Internet。

使用以下命令检查当前的 WinHTTP 代理设置:

netsh.exe winhttp 显示代理
 

当前 WinHTTP 代理设置:

直接访问(无代理服务器)。

要通过 GPO 为计算机启用 WinHTTP 代理,您必须配置一个特殊的注册表参数。

首先,您需要在参考计算机上为 WinHTTP 配置代理。最简单的方法是从 IE 导入代理设置:

netsh winhttp 导入代理源=ie

这些设置将保存在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ConnectionsWinHttpSettings参数中

 
 

现在打开您的代理 GPO 并转到“计算机配置” > “首选项” >“ Windows 设置” >“注册表” >“新建” >“注册表向导”

选择本地计算机并指定WinHttpSettings参数的完整路径

仍然需要单击完成,更新计算机上的策略,并确保成功应用 WinHTTP 代理设置。

如何防止用户更改浏览器中的代理设置?

默认情况下,如果您通过 GPO 在 Windows 中配置代理服务器设置,计算机用户可以自己更改代理设置。

 

请注意,可以使用 IE 选项和现代设置控制面板编辑 Windows 中的代理设置。

 

您可以使用“阻止更改代理设置”附加 GPO 选项来阻止用户更改 Windows 中的代理设置此参数存在于用户和计算机 GPO 部分。

  • 计算机配置 > 策略 > 管理模板 > Windows 组件 – Internet Explorer
  • 用户配置 > 策略 > 管理模板 > Windows 组件 Internet Explorer

如果启用此策略并将其应用于域计算机,则 Windows 中具有代理设置的字段将被阻止,并且标题将显示在下面:某些设置由您的系统管理员管理

 

提示计算机配置部分中的设置优先于用户设置。

通常,您希望使用更灵活的方式授予更改​​计算机上的代理设置的权限。例如,您可以限制除ca_workstation_admins 域安全组成员之外的所有用户的代理设置

  1. 使用代理设置创建一个新的 GPO(或编辑现有的);
  2. 转到组策略首选项(用户配置>首选项Windows 设置>注册表)并创建两个注册表值:

第一个参数禁止更改代理设置:

蜂巢:HKEY_CURRENT_USER

密钥路径:Software\Policies\Microsoft\Internet Explorer\Control Panel

 
 

值名称:代理

值类型:REG_DWORD

数值数据:00000001

第二个参数通过代理设置阻止 IE 窗口的启动:

蜂巢:HKEY_CURRENT_USER

 

密钥路径:Software\Policies\Microsoft\Internet Explorer\Restrictions

值名称:NoBrowserOptions

值类型:REG_DWORD

 

数值数据:00000001

    1. 这些政策将适用于所有计算机用户;
    2. 为了防止策略应用于特定的安全组,需要复制这两个参数,设置一个更大的 Order,并将它们的值更改为00000000
    3. 然后打开这两个注册表设置各自的属性,进入Common > Item level Targeting > Targeting;
    4. 创建nem定位规则:新建>安全组>提供组名(ca_workstation_admins);
    5. 为第二个注册表参数创建一个类似的目标规则;
    6. 因此,如果来自指定组的用户登录到计算机,则不会阻止他的代理设置。

原文地址:https://www.cnblogs.com/wulongy/p/14962219.html

上一篇: vbscript的功能及应用领域是什么?

下一篇: vb使用vbs脚本进行调用

推荐阅读