我想使用组策略在计算机/位置/OU 基础上应用 Windows 代理设置(目前的 IE 版本是 8,但迟早会升级)。目前,我的 Active Directory 树中的用户对象和计算机对象被分离到不同的 OU 中,并且这些 OU 进一步按类别细分(例如,计算机/PhysicalLocation1、计算机/PhysicalLocation2、用户/BusinessUnit1、用户/BusinessUnit2 等)。
我认为,解决上述问题的典型方法是使用组策略环回处理和 GPO 安全过滤器。但是,问题在于,我希望只有当用户从特定计算机/位置访问网络时,无论用户是谁,每个人都会通过代理。当同一用户从不同位置/OU 访问网络时,他们不会通过代理。
如果我使用 GPO 安全过滤器来精确定位组策略环回处理的应用位置,似乎我需要指定用户对象(即与使用代理设置登录 PC 的人员关联的对象)以及计算机对象(即应用代理设置的计算机)。 问题是,当用户在我不想应用代理设置的位置使用不同的 PC 时,由于用户在 GPO 安全过滤器中,因此最终会应用代理设置。
有没有什么简单的方法可以精确定位每台计算机的代理设置?
答案1
看来你的思路是对的。
您需要使用环回处理。环回处理非常简单,允许您将用户配置 GPO 链接到包含计算机的 OU,并将用户配置应用于这些计算机上的用户。
我不知道您为什么要使用组策略安全过滤。这意味着您将 GPO 链接到了比要应用它的级别更高的级别。
因此,为了实现这个目标:
在目标计算机 OU 中,创建一个名为“启用环回处理”的 GPO 并配置
计算机配置\策略\管理模板\系统\组策略\用户组策略环回处理模式>启用,模式:合并
在目标计算机 OU 中,创建一个名为“IE 代理服务器”的 GPO 并配置
User Configuration\Preferences\Control Panel\Internet Settings\ <set required proxy settings>(可选)在此 OU 中配置另一个 GPO,以防止用户使用以下方式更改代理设置
Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Disable the Connections page
您根本就不应该使用安全过滤。
只要这些 GPO 仅链接到您想要使用代理服务器的计算机的 OU,那么它就会起作用,而其他 OU 中的计算机上的用户将不会获取这些代理设置。