Trong bài viết này, chúng ta sẽ xem xét cách định cấu hình tập trung cài đặt proxy trên máy tính Windows 10 trong miền bằng Chính sách nhóm. Hầu hết các trình duyệt phổ biến (chẳng hạn như Microsoft Edge, Google Chrome, Internet Explorer, Opera) và hầu hết các ứng dụng đều tự động sử dụng cài đặt proxy được đặt trong Windows để truy cập Internet. Chúng ta cũng sẽ xem xét cách thiết lập cài đặt proxy WinHTTP trên Windows.
Trong bài viết này, chúng ta sẽ xem xét các chi tiết cụ thể của việc định cấu hình máy chủ proxy thông qua Group Policy trong các phiên bản Windows được hỗ trợ (Windows 10, 8.1 và Windows Server 2012/2016/2019). Lưu ý rằng cài đặt proxy được đặt khác nhau trong Windows 7 / Server 2008R2, Windows XP / Windows Server 2003 với hỗ trợ đã ngừng hoạt động.
Cách đặt Cài đặt proxy trên Windows qua GPO?
Ban đầu, để định cấu hình tập trung cài đặt Internet Explorer (bao gồm cài đặt proxy) bằng Chính sách nhóm trong môi trường miền Active Directory, Bảo trì Internet Explorer Chính sách (IEM) đã được sử dụng. Tùy chọn chính sách này nằm trong phần GPO của người dùng: Cấu hình người dùng -> Chính sách -> Cài đặt Windows -> Bảo trì Internet Explorer. Nhưng kể từ Windows Server 2012 / Windows 8, chính sách IEM đã không còn được dùng nữa. Phần này bị thiếu trong các phiên bản hiện đại của Windows 10 / Windows Server 2016/2019.
Trên các phiên bản Windows mới nhất, bạn phải sử dụng Tùy chọn chính sách nhóm (GPP) để định cấu hình cài đặt IE và proxy trong GPO Editor. Ngoài ra còn có tùy chọn sử dụng tiện ích mở rộng đặc biệt của Bộ quản trị Internet Explorer 11 (IEAK 11) - nhưng nó hiếm khi được sử dụng.
Mở bảng điều khiển GPO Editor miền (Bảng điều khiển quản lý chính sách nhóm - GPMC.msc
), chọn đơn vị tổ chức với những người dùng mà bạn muốn áp dụng cài đặt proxy và tạo chính sách mới Tạo GPO trong miền này và liên kết tại đây .
Đi tới Cấu hình người dùng -> Tùy chọn -> Cài đặt bảng điều khiển -> Cài đặt Internet . Trong trình đơn ngữ cảnh, chọn Mới -> Internet Explorer 10 .
Để định cấu hình cài đặt proxy trên Windows 10 / Windows Server 2016, bạn cần sử dụng Internet Explorer 10 mặt hàng.
Mẹo . Mặc dù không có tùy chọn riêng cho Internet Explorer 11, Internet Explorer 10 chính sách sẽ áp dụng cho tất cả các phiên bản IE trên 10 (trong tệp chính sách InternetSettings.xml, bạn có thể thấy rằng tùy chọn này hợp lệ với tất cả các phiên bản IE từ 10.0.0.0 đến 99.0.0.0).<FilterFile lte="0" max="99.0.0.0" min="10.0.0.0" gte="1" type="VERSION" path="%ProgramFilesDir%\Internet Explorer\iexplore.exe" bool="AND" not="0" hidden="1"/>
Một biểu mẫu IE đặc biệt về Tùy chọn Chính sách Nhóm sẽ xuất hiện trước mặt bạn, gần như hoàn toàn giống với cài đặt Tùy chọn Internet trong Bảng điều khiển Windows. Ví dụ:bạn có thể chỉ định một trang chủ ( Chung tab -> Trang chủ trường).
Quan trọng . Chỉ lưu các thay đổi của bạn trong Group Policy Editor là không đủ. Lưu ý các gạch dưới màu đỏ và xanh lá cây cho các cài đặt có thể định cấu hình Internet Explorer 10. Gạch chân màu đỏ cho biết rằng cài đặt này sẽ không được áp dụng. Để lưu và áp dụng một cài đặt cụ thể, hãy nhấn F5 . Gạch chân màu xanh lá cây của thông số có nghĩa là thông số IE này sẽ được áp dụng thông qua GPP.
Các phím chức năng sau khả dụng:
- F5 - Bật tất cả cài đặt trên tab hiện tại
- F6 - Bật cài đặt đã chọn
- F7 - Tắt cài đặt đã chọn
- F8 - Tắt tất cả cài đặt trong tab hiện tại
Để chỉ định cài đặt proxy, hãy đi tới Kết nối và nhấp vào tab Cài đặt Lan khuy ao. Máy chủ proxy có thể được định cấu hình theo một trong những cách sau:
- Tự động phát hiện cài đặt - tự động phát hiện các cài đặt bằng tệp wpad.dat;
- Sử dụng tập lệnh cấu hình tự động - tập lệnh cấu hình tự động (proxy.pac);
- Máy chủ proxy - địa chỉ IP hoặc tên DNS của máy chủ proxy được chỉ định trực tiếp trong cài đặt chính sách. Đây là cách dễ nhất và chúng tôi sẽ sử dụng nó.
Chọn tùy chọn Sử dụng máy chủ proxy cho mạng LAN của bạn và chỉ định tên IP / FQDN của máy chủ proxy và cổng kết nối trong Địa chỉ tương ứng và Cổng các lĩnh vực.
Bằng cách bật Bỏ qua máy chủ proxy cho các địa chỉ cục bộ tùy chọn, bạn có thể ngăn các ứng dụng (bao gồm cả trình duyệt) sử dụng máy chủ proxy khi truy cập tài nguyên cục bộ (ở định dạng https://localnetwork
). Nếu bạn sử dụng các địa chỉ tài nguyên như https://web1.woshub.loc
hoặc https://192.168.1.5
, thì những địa chỉ này không được Windows công nhận là địa chỉ cục bộ. Các địa chỉ này và địa chỉ của các tài nguyên khác, để truy cập mà bạn không cần sử dụng proxy, phải được chỉ định theo cách thủ công. Nhấn Nâng cao và thêm các địa chỉ này vào trường Không sử dụng máy chủ proxy cho các địa chỉ bắt đầu bằng ở định dạng sau:10.1.*;192.168.*;*.woshub.loc;*.local.net
.
Mẹo . Cài đặt proxy trong Google Chrome cũng có thể được đặt thông qua GPO bằng cách sử dụng các mẫu quản trị đặc biệt. Đối với Mozilla Firefox, bạn có thể sử dụng giải pháp này.
Sau khi lưu chính sách, bạn có thể xem tệp InternetSettings.xml với cài đặt trình duyệt được chỉ định trong thư mục chính sách trên bộ điều khiển miền:
\\ UKDC1 \ SYSVOL \ woshub.com \ Policies \ {PolicyGuiID} \ User \ Preferences \ InternetSettings \ InternetSettings.xml
GPP cho phép bạn nhắm mục tiêu chính sách đến người dùng / máy tính rõ ràng hơn. Đối với điều này, Nhắm mục tiêu theo cấp độ mặt hàng GPP được sử dụng. Đi tới Chung , bật tùy chọn Nhắm mục tiêu cấp mục -> Nhắm mục tiêu .
Trong biểu mẫu mở ra, hãy nêu rõ các điều kiện để áp dụng chính sách. Ví dụ:tôi đã chỉ ra rằng chính sách cấu hình proxy sẽ chỉ được áp dụng cho những người dùng là thành viên của proxy_users nhóm bảo mật miền. Bạn có thể sử dụng logic của riêng mình để gán các tham số proxy.
Nó vẫn là liên kết chính sách proxy với vùng chứa AD với người dùng và cập nhật cài đặt chính sách trên họ. Sau khi áp dụng các chính sách trên máy tính của người dùng, các cài đặt IE mới sẽ được sử dụng. Bạn có thể kiểm tra cài đặt proxy hiện tại trên Windows 10 trong Cài đặt -> Mạng và Internet -> Proxy . Như bạn có thể thấy, máy tính hiện sử dụng cài đặt proxy được chỉ định trong chính sách miền.
Để ngăn người dùng thay đổi cài đặt máy chủ proxy, bạn có thể sử dụng bài viết này.
Định cấu hình Cài đặt proxy qua Hệ thống đăng ký và GPO
Ngoài ra, bạn có thể định cấu hình cài đặt IE thông qua sổ đăng ký bằng các chính sách GPP. Ví dụ:để bật máy chủ proxy, bạn cần định cấu hình tham số đăng ký sau trong khóa đăng ký HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings . Trong trình soạn thảo GPO, đi tới phần Cấu hình người dùng -> Tùy chọn -> Cài đặt Windows -> Đăng ký và tạo ba tham số đăng ký theo khóa đăng ký được chỉ định:
-
ProxyEnable
(REG_DWORD) =00000001
-
ProxyServer
(REG_SZ) =192.168.0.11:3128
-
ProxyOverride
(REG_SZ) =https://*.woshub.com;192.168.*;10.1.*;*.contoso.com;<local>
Bạn cũng có thể sử dụng Nhắm mục tiêu cấp mục tại đây để nhắm mục tiêu cài đặt chính sách của bạn cho người dùng / thiết bị cụ thể.
Nếu bạn cần tạo chính sách proxy không phải cho mỗi người dùng mà cho toàn bộ máy tính (mỗi máy tính), hãy sử dụng cài đặt GPP từ phần GPO Cấu hình máy tính -> Tùy chọn -> Cài đặt Windows -> Đăng ký . Đặt các thông số đăng ký giống nhau trong khóa đăng ký HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ CurrentVersion \ Internet Settings.
Thay đổi Cài đặt Proxy WinHTTP qua GPO
Một số dịch vụ hoặc ứng dụng hệ thống (ví dụ:dịch vụ cập nhật Wususerv hoặc PowerShell) không sử dụng cài đặt proxy của người dùng theo mặc định. Để các ứng dụng như vậy hoạt động bình thường và truy cập Internet, bạn cần định cấu hình cài đặt proxy WinHTTP trong Windows.
Để kiểm tra xem proxy WinHTTP đã được định cấu hình trên máy tính của bạn chưa, hãy chạy lệnh:
netsh winhttp show proxy
Câu trả lời “Direct access (no proxy server)
”Nghĩa là không có proxy nào được thiết lập.
Bạn có thể đặt proxy cho WinHTTP theo cách thủ công trên máy tính của mình bằng lệnh:
netsh winhttp set proxy proxy.woshub.com:3128 "localhost;10.1.*;192.168.*;*.woshub.com"
Hoặc nhập cài đặt proxy từ cài đặt Internet Explorer của người dùng:
netsh winhttp import proxy source=ie
Tuy nhiên, bạn sẽ không thể định cấu hình WinHTTP thông qua GPO - không có tham số tương ứng trong trình chỉnh sửa GPO và tham số được lưu trữ trong thuộc tính đăng ký nhị phân không phù hợp để chỉnh sửa trực tiếp.
Cách duy nhất để đặt cài đặt proxy WinHTTP trên Windows thông qua GPO là định cấu hình proxy WinHTTP trên máy tính tham chiếu, xuất giá trị của WinHttpSettings tham số từ khóa đăng ký HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Connections và triển khai tham số này cho các máy tính trong miền thông qua tiện ích mở rộng đăng ký GPP.