Меню

Настройки прокси сервер gpo



Как запретить изменение настроек прокси-сервера через GPO, за минуту

Как запретить изменение настроек прокси-сервера через GPO, за минуту

Добрый день! Уважаемые читатели и гости одного из крупнейших IT порталов Pyatilistnik.org. В прошлый раз мы с вами разобрали, как скопировать файл и папку через групповую политику. Сегодня мы вновь воспользуемся их возможностями и рассмотрим ситуацию, при которой вам необходимо настроить запрет изменения настроек прокси-сервера с помощью GPO для браузеров Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер. Мы рассмотрим для чего это нужно, что это даст в практическом выражении для системного администратора.

Для чего нужно убирать возможность изменения настроек прокси-сервера

Перед практической частью я бы хотел описать реальные случаи из своей практики, где мне пришлось ограничивать пользователей в данном вопросе.

  1. Первый пример, я работаю в очень крупной компании, это подразумевает. что некоторые мелкие или рутинные задачи проектов или под проектов могут выполнять подрядчики. Для подрядчиков есть отдельный терминальный стол, где они варятся. Для некоторых из них необходимы особые условия, например запрет выхода в интернет, но при этом иметь возможность обращаться к локальным ресурсам. Особо продвинутые могут попытаться найти бесплатные адреса прокси и прописать их в браузере, чтобы этого не произошло необходимо убрать у них возможность менять настройки прокси-сервера.
  2. Второй пример, это RDS ферма, где так же работают сотрудники компании. Они выходят в интернет через определенный шлюз. Чтобы это не обойти прописав в настройках сторонний прокси сервер, нужно заблокировать у них такую возможность. На самом деле вариантов применения очень много.

Методы запрета изменения настроек прокси сервера

В данном примере я покажу вам несколько вариантов, которые вы сможете использовать по своим требованиям. Первый вариант, это использование ISE настроек групповой политики, второй вариант, это использование ключей реестра.

И так у меня в домене Active Directory есть компьютер W10CL02 под управление операционной системы Windows 10 и пользователь Барбоскин Геннадий.

Мне бы хотелось запретить ему изменять настройки прокси сервера в Internet Explorer и в настройках Proxy на уровне системы. В прошлый раз мы с вами через групповые политики назначили на его компьютере свои настройки прокси-сервера, которые были прописаны в настройках «Параметры — Прокси сервер«

или же в «Настройках параметров локальной сети» в Internet Explore 11.

Вся проблема заключается в том, что Геннадий умеет изменять эти настройки и знает, что для этого не требуется наличие административных прав в системе. Это не порядок и давайте это исправлять. Откройте оснастку «Управление групповой политикой», можно из окна выполнить, введя gpmc.msc

Найдите ваше организационное подразделение к которому вы будите применять объект групповой политики, тут нужно не забывать, что вы можете настроить ограничение на уровне пользователя или на уровне компьютера, если сделаете на уровне компьютера, то это будет распространяться на всех его пользователей, обычно это делают на терминальных серверах. В моем примере я сделаю настройку для компьютера, но и покажу и для пользователя. Создаем новый объект GPO и задаем ему нужное вам имя. Переходим к ее редактированию.

Откройте ветку настроек, если для компьютера:

Включение параметра «Запретить изменение параметров прокси» отнимет права на изменение данной функции.

Откройте ветку настроек, если для пользователя:

Произведем обновление групповых политик на компьютере пользователя и проверим результат нашей политики по ограничению настроек прокси-сервера. Если политика была нацелена на компьютер, то она применится сразу ,если на пользователя ,то ему придется произвести выход из системы, чтобы увидеть данные настройки. При следующей авторизации я зашел в настройки Internet Explorer, где я вижу, что политика успешно отработала.

Читайте также:  Kerio почтовый сервер настройка

На вкладке «Подключения — Настройки сети» я не могу взаимодействовать со вкладкой «Прокси-сервер: использовать прокси-сервер для локальных подключений (не применяется для коммутируемых или VPNподключений)», она просто неактивна.

Если попытаться изменить настройки для Google Chrome или Mozilla, то вас перекинет в параметры Windows или же на вкладку подключений Internet Explorer, где вы так же не сможете ничего изменить.

В Edge та же песня, из вкладки «Дополнительно — Открыть параметры прокси-сервера«

То же самое можно проверить в параметрах Windows 10 в разделе «Прокси-сервер», где у меня не активен ползунок «использовать прокси-сервер«. Ограничения отлично работают.

Как включить запрет изменения настроек прокси через реестр Windows

Если вы не в курсе, то любые настройки которые вы меняете через групповые политики и расширения ISE, это просто изменение ключей реестра Windows на удаленной системе. Зная, это вы можете производить ограничения и через ключи, которые можете распространять через скрипты, туже групповую политику. Нам потребуется создать два ключа реестра, делать я это буду так же через объект GPO созданный ранее, но уже вам необходимо будет перейти в раздел преференций:

тут необходимо будет кликнуть правым кликом мыши по пустому пространству и создать новый элемент реестра.

В свойствах окна нужно настроить:

  • В области «действие» выберите пункт «Обновить», в результате этого действия существующий параметр реестра будет обновлен
  • В разделе «Куст» выберите HKEY_CURRENT_USER
  • В пути к разделы укажите Software\Policies\Microsoft\Internet Explorer\Control Panel
  • В имени параметра пропишите Proxy
  • Тип параметра будет REG_DWORD
  • Значение 1, будет активировать запрет на изменение настроек прокси-сервера в Windows для любого браузера Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер.
  • База — укажите десятичный формат

У меня получилось вот так

Если вы хотите вообще ограничить просмотр свойств Internet Explorer, то можете создать ключ NoBrowserOptions:

В свойствах окна нужно настроить:

  • В области «действие» выберите пункт «Обновить», в результате этого действия существующий параметр реестра будет обновлен
  • В разделе «Куст» выберите HKEY_CURRENT_USER
  • В пути к разделы укажите Software\Policies\Microsoft\Internet Explorer\Restrictions
  • В имени параметра пропишите NoBrowserOptions
  • Тип параметра будет REG_DWORD
  • Значение 1, будет активировать запрет на доступ к свойствам IE
  • База — укажите десятичный формат

теперь попытавшись открыть свойства Internet Explorer у вас появится предупреждение:

Вообще полный список ключей для изменения настроек Internet Explorer вы можете найти по ссылке слева. Так же хочу отметить, что вы легко можете вносить изменения в реестре и на не доменных рабочих станциях, для этого вам нужны права администратора. дающие права на удаленное подключение к реестру. Так же вы можете использовать ветки реестра и значения в своих скриптах на базе PowerShell, вариантов уйма.

Источник

Как настроить прокси сервер политиками GPO

В статье показано как задать параметры прокси–сервера для Internet Explorer, групповыми политиками AD.

Для Windows XP,7,2008,R2: Для того чтобы настроить параметры Internet Explorer (в том числе нужную нам настройку прокси-сервера), необходимо перейти в редактор групповых политик (gpmc.msc). И перейти по пути: User configuration –> Policies –> Windows Settings –> Internet Explorer Maintenance.

Для Windows Server 2012, Windows 8: разработчики Microsoft решили удивить своих пользователей и целиком убрали раздел Internet Explorer Maintenance из редактора групповых политик.

Привычный раздел групповых политик Internet Explorer Maintenance (IEM) также пропадает и в Windows 7 / Windows Server 2008 R2 после установки браузера Internet Explorer 10 или IE 11 (в котором появился полезный режим совместимости Enterprise Mode). И если даже на ПК с IE 10 и IE 11 продолжает действовать старая политика с IEM, применять на такой системе она не будет.

Читайте также:  Настройка пиратского сервера minecraft


Итак, в новых реализациях задавать параметры нужно в предпочтениях групповых политик GPP (Group Policy Preferences).

В консоли редактора групповых политик (Group Policy Management Console) откроем раздел User Configuration -> Preferences -> Control Panel Settings -> Internet Settings. В контекстном меню нажмем New -> и выберем версию IE, настройки которой будут определяться в создаваемой политике.

Доступны настройки для следующих версий IE: Internet Explorer 5,6,7,8,9,10


далее создадим политику для Iternet Exlorer 10 и выше. Процесс настройки параметров IE стал более простым, параметры интернет браузера в предпочтениях групповой политики воспроизводят вкладки настроек для каждой совместимой версии IE.

Информация. При формировании политики недостаточно сохранить внесенные изменения в редакторе политики, обратите внимание на красные и зеленые подчеркивания у настраиваемых параметров. Красное подчеркивание эта настройка не подтверждена и применяться не будет. Чтобы ее принять, нажмите F5. Зеленое подчеркивание у параметра означает, что этот настройка будет применяться через GPP.

Для нас доступные функциональные клавиши:

  • F5 – Включить все настройки на текущей вкладке
  • F6 – Включить выбранный параметр
  • F7 – Отключить выбранный параметр
  • F8 – Отключить все настройки на текущей вкладке

Настроим прокси-сервер во вкладке Подключения -> Параметры локальной сети (Connections ->Lan Settings). Ставим галку Использовать прокси-сервер для локальных подключений (Use a proxy server for your LAN), а в полях Адрес (Address) и Порт (Port) соответственно указываем ip/имя прокси-сервера и порт подключения.

Следующим шагом сохраняем политику и применяем к нужному контейнеру AD.

Источник

Задаем прокси-сервер в Internet Explorer 11 с помощью GPO

В этой статье я покажу, как для всех пользователей домена установить одинаковые настройки прокси-сервера в браузере Internet Explorer 11 с помощью групповых политик (GPO) Active Directory.

В более ранних версиях Internet Explorer (версии 6, 7 и 9) настройка параметров Internet Explorer осуществлялась в следующем разделе редактора групповых политик: User configuration -> Policies -> Windows Settings -> Internet Explorer Maintenance. Однако в Internet Explorer 10 (представленном в Windows Server 2012 и Windows 8) разработчики удалили раздел Internet Explorer Maintenance (IEM) из редактора GPO. Кроме того, этот раздел также исчезает и в Windows 7 / Windows Server 2008 R2 после установки Internet Explorer 10 или 11. И даже если на компьютер с IE 10 или 11 продолжает действовать старая доменная политика с IEM, имейте в виду, что реально она не работает.

Совет. В январе 2016 года Microsoft объявила о завершении поддержки всех старых версий Internet Explorer. Таким образом, Iinternet Explorer 11 стал единственной поддерживаемой версией в семействе IE, для которой выпускаются обновления и патчи (А вы уже обновили IE на всех ПК до 11 версии?).

Теперь для управления настройками Internet Explorer необходимо использовать предпочтения групповых политик (GPP — Group Policy Preferences) или расширение Internet Explorer Administration Kit 11 (IEAK 11). Итак, чтобы задать прокси-сервер для IE 11 через предпочтения групповых политик, выполните следующие действия:

  1. Откройте консоль редактора Group Policy Management Console (GPMC.msc) на компьютере с Windows 8 / 10 / Server 2012/ R2 и создайте новый или отредактируйте существующий объект GPO, который применяется к пользователям домена (или OU с пользователями). Перейдите в раздел User Configuration -> Preferences -> Control Panel Settings -> Internet Settings . Щелкните ПКМ по разделу и в контекстном меню выберите New-> Internet Explorer 10 (данная политика будет применятся ко всем версиям IE, начиная с IE 10 и выше).
  2. В окне, внешним видом повторяющим локальные настройки браузера IE, перейдите на вкладку Connections и нажмите кнопку LAN Settings
  3. Поставьте галку “Use a proxy server for your LAN” и укажите IP адрес и TCP порт вашего прокси сервера (например, 192.168.1.11:3128). Чтобы активировать эту настройку нажмите клавишу F5 (в результате цвет подчеркивания в названии поля поля сменился с красного на зеленый цвет). Обратное действие – отключение параметра производится с помощью клавиши F7.
  4. Если нужно задать список исключения для прокси сервера, необходимо нажать на кнопку Advanced. В открывшемся окне в поле Do not use proxy servers for addresses beginning with нужно через точку с запятой (;) указать список IP адресов или доменов, для доступа к которым не нужно использовать прокси сервер, например: 192.*;*.vmblog.ru
  5. Сохраните изменения, нажав дважды ОК.
Читайте также:  Настройка powerchute для выключения сервера

Примечание. Данное правило GPP будет применяться только для IE 10 и 11, если у вас в сети остались компьютеры с более старой версией Internet Explorer, для них по аналогии нужно создать отдельные правила GPP.

Осталось назначить данный объект GPO на нужный контейнер Active Directory с пользователями, обновить групповые политики на клиентских компьютерах ( gpupdate /force ) и проверить, что в настройках IE у пользователей выставились указанные вами параметры прокси-сервера.

Совет. Чтобы новые политики с настройками IE можно было редактировать из ОС Windows Server 2008 или 2008 R2, нужно скачать Administrative Templates for Internet Explorer и скопировать файлы Inetres.admx и Inetres.adml в локальный каталог %SYSTEMROOT%\PolicyDefinitions\

Кроме того, задать параметры прокси можно напрямую через реестр. Воспользуемся другой возможностью GPP. В редакторе GPO перейдите в раздел User Configuration -> Preferences -> Registry и в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings создайте три параметра реестра со следующими значениями:

Источник

Включения прокси-сервера через групповые политики windows в 10 шагов

Если у вас нет возможности к каждому подходить и изменять прокси-сервер на компьютере. Сделаем это через групповые политики.

1. На контроллере домена запускаем редактор групповых политик (windows+r) пишем gpmc.msc, нажимаем ок.

2. Нажимаем правой кнопкой мыши на политику и выбираем Изменить.

3. В открывшемся окне выбираем Конфигурация пользователя —> Параметры панели управления —> Параметры обозревателя

4. В правой области нажимаем правой кнопкой мыши и наводим на создать и выбираем нужную версию Internet Explorer.

5. Откроется Свойства обозревателя.

6. Переходим во вкладку Подключения, нажимаем на Настройка сети.

Важно!

Для того что бы поле было подчеркнуто зеленым нужно нажать клавишу F5.

Т.к. при красном подчеркивание политика не сработает.

7. Вводим нужные наш ip адрес прокси сервера и порт.

8. Ставим не использовать прокси-сервер для локальных адресов.

10. После перезагрузки на каждом компьютере применяться политика и автоматически пропишется прокси-сервер.

2 комментария

в 4 пункте у меня выходит internet explorer 5-8 — 9 и выше нет

Как версия Windows Server и в каком режиме работает контроллер домена?

Последние записи

Соцсети

Начните путь вместе с нами

Составление индивидуальных проектов. Подборка оптимальных решений. Добавьте своей компании еще больше скорости и безопасности. Мы — это ваш надежный проводник в мире информационных технологий. Всегда рядом!

Источник

Adblock
detector