今天,我在 Active Directory 环境中安装了 Astaro Web Gateway(代理设备)。我创建了一个 GPO,强制广告用户将 http 流量发送到设备而不是其默认网关。GPO 只是编辑 Internet Explorer 代理设置。
据我记得,我在用户..窗口组件...Internet Explorer...代理设置中找到了 GPO 模板。
该政策运行良好,但有一个不太可能的事情,它不能阻止用户手动清除该设置。
有没有办法拒绝编辑该设置?或者也许有另一个 GPO 可以完成这项工作?
答案1
在您已经配置了代理设置的组策略对象中(我假设您使用“用户配置”、“Windows 设置”和“Internet Explorer”下的 Internet Explorer 策略扩展),添加以下设置:
- 用户配置
- 管理模板
- Windows 组件
- IE浏览器
- 禁用更改代理设置 - 启用
- IE浏览器
- Windows 组件
- 管理模板
这将阻止用户更改代理设置。
作为“管理员”,您可能不希望强制执行此设置。如果是这种情况,请向 GPO 上的权限添加“BUILTIN\Administrators - 拒绝应用组策略”权限。然后,嵌套在 BUILTIN\Administrators 中的各个管理员组(域管理员、企业管理员等)的成员将不会强制执行此设置。(如果您想使用管理员帐户登录并查看是否有任何不同行为不通过代理,则很方便。)
如果您想要一个特殊组来将允许“绕过”代理设置和更改设置的限制的人员放入其中,您可以将其扩展为创建一个组,将用户放入该组中,并拒绝该组的“应用组策略”权限。
编辑:
我看到了您关于笔记本电脑的评论。
查看代理自动配置脚本。您一定会喜欢代理自动配置脚本以及它们在您的笔记本电脑上的运行方式。
http://en.wikipedia.org/wiki/Proxy_auto-config
几年前,由于管理员将笔记本电脑带到了异地并尝试在不需要指定 HTTP 代理的其他网络上工作,我为我的学区客户转而使用代理自动配置文件。它工作得非常好,并且是一种很好的跨浏览器和跨平台兼容解决方案。
答案2
检查用户配置/管理模板/windows 组件/internet explorer/禁用更改代理设置。以下是一些截图。
答案3
请告知是否可以进一步修改此设置。我的情况是,我可以设置 GPO 以列出特定代理并启用此设置。但是当我将选项添加到“禁用更改代理设置”时,代理设置不再启用。GPO 建模和结果表明这两个设置都得到了正确实施。
如果我只是使用 GPO 来设置并启用代理设置,则代理设置会被正确设置和启用,但用户可以进入设置并禁用它们。
一旦添加 GPO 的第二部分,启用这些设置的勾选就会消失,并且会变灰。
我在 SBS 2003 和 SBS 2008 上也有同样的经历。
谢谢
乔纳森