Настройка прокси-сервера в Win8 через групповые политики

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Настройка прокси-сервера в Win8 через групповые политики

Сообщение UncleFather »

Проблема:

После установки и настройки MS Windows 8 Professional 32-bit и 64-bit заметил, что для этой ОС не применяются настройки прокси-сервера (адрес, порт и список исключений), заданные в групповых политиках домена. Домен Active Directory поднят на MS Windows 2003 R2 Server Rus SP2. Так же не копируются ссылки в «Избранное» и «Панель закладок»

Для более ранних ОС политики, заданные на контроллере домена в разделе Политики -> Конфигурация пользователя -> Настройка Internet Explorer -> Подключение -> Параметры прокси-сервера успешно применяются:

01.JPG

На Windows XP все хорошо:

022.JPG

И в реестре:

023.JPG

А на Windows 8 прокси не прописывается:

03.jpg

Соответственно, в реестре тоже пусто:

04.jpg

Решение:

Первое решение, которое приходит в голову - это создать

шаблон групповой политики:

Код: Выделить всё

#if version >= 3 

CLASS USER

CATEGORY !!WinComponents

CATEGORY !!sExplorer

POLICY !!Text
			KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings" 
	EXPLAIN !!ExplConnections 
		VALUENAME "ProxyEnable"
		VALUEON NUMERIC 1
		VALUEOFF NUMERIC 0

		PART !!sProxyAddr EDITTEXT REQUIRED DEFAULT "192.168.0.1:8080"
			VALUENAME "ProxyServer"
			MAXLEN 22
		END PART

		PART !!sProxyOverride EDITTEXT DEFAULT "<local>"
			VALUENAME "ProxyOverride"
			MAXLEN 1024
		END PART

END POLICY 

END CATEGORY ;sExplorer

END CATEGORY ;WinComponents 

#endif 

[Strings]
Text="Использовать прокси-сервер для локальных подключений для Windows 8"
WinComponents="Компоненты Windows"
ExplConnections="Используется для Windows 8. Определяет настройки прокси-сервера. Позволяет назначить адрес и порт, а так же адреса исключений для обхода прокси-сервера. Адрес и порт прокси-сервера пишется через двоеточие, например: 192.168.0.1:8080. Список исключений адресов для обхода прокси-сервера пишется через точку с запятой. Можно использовать маску. Для исключения локальных (внутрисетевых) адресов дописываем <local>. Например: 192.168.1.*;*srv01*;<local>" 
sExplorer="Internet Explorer"
sProxyAddr="Адрес и порт прокси-сервера через двоеточие, например: 192.168.0.1:8080"
sProxyOverride="Список исключений для обхода прокси-сервера адресов. Адреса пишутся через точку с запятой. Можно использовать маску. Для исключения локальных (внутрисетевых) адресов дописываем <local>. Например: 192.168.1.*;*srv01*;<local>"

Скачать шаблон:

Proxy4Win8.rar
(1.77 КБ) 1577 скачиваний

Добавляем этот шаблон к административным шаблонам нужной групповой политики, в настройках фильтрации снимаем галочку «Показывать только настраиваемые параметры групповой политики» и видим новый параметр «Использовать прокси-сервер для локальных подключений для Windows 8» в Политики -> Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Internet Explorer:

05.JPG

Примечание 1: В ОС MS Windows 8 шаблоны adm будут отображаться в политиках в Административных шаблонах -> Классические административные шаблоны (ADM).

Примечание 2: После того, как данный шаблон будет добавлен к шаблонам выбранных политик, к компьютерам, с ОС Microsoft Windows Vista и выше, на которые действует эта политика, будет применяться именно эта настройка Internet Explorer, вместо обычной Политики -> Конфигурация пользователя -> Настройка Internet Explorer -> Подключение -> Параметры прокси-сервера. На компьютеры с ОС Microsoft Windows XP будет действовать шаблон обычной политики. То есть на XP действует стандартный шаблон, на Vista и выше - тот который мы создали.

Открываем его и настраиваем параметры:

06.JPG

После этого настройки прокси-сервера, заданные в этом параметре политики применятся и к ОС MS Windows 8:

07.jpg
08.jpg

Теперь займемся копированием ссылок в «Избранное» и «Панель закладок»

Здесь тоже самое простое решение - копировать эти ярлыки в пользовательскую папку с общего ресурса при входе пользователя в систему.

Для этого в нужную политику пользователя добавляем Logon script (Visual Basic Script (VBS)) следующего содержания:

Код: Выделить всё

ON ERROR RESUME NEXT

Set oShell = WScript.CreateObject("WScript.Shell")
FavoritesPath = oShell.SpecialFolders("Favorites")

set FSO=CreateObject("Scripting.FileSystemObject")
FSO.CopyFolder "\\Server\CommonFolder\Favorites",FavoritesPath,true

А в общую папку CommonFolder на сервере помещаем подпапку «Favorites», которая будет являться корневой папкой для папки "Избранное" браузера Internet Exolorer. В папку «Favorites» помещаем папку «Links» - это панель закладок. В нее помещаем нужные ярлыки. Так же помещаем ярлыки и папки с ярлыками в саму папку «Favorites» - это и будет добавляться на клиентских компьютерах к содержимому папки "Избранное".


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Настройка Internet Explorer в Windows 8 из Windows 2003

Сообщение UncleFather »

Проблема:

Необходимо настраивать параметры Internet Explorer 11 в OS MS Windows 8 с контроллера домена на MS Windows 2003 R2 Server Rus.

Пояснения:

Согласно статье «Замена компонента «Настройка Internet Explorer» на сайте Microsoft:

В Windows 8 с Internet Explorer 10 мы отказались от IEM в пользу более надежного инструмента "Предпочтения групповой политики". Администраторы также могут использовать пакет администрирования Internet Explorer (IEAK), чтобы настраивать конкретные параметры. В следующей таблице перечислены параметры, доступные в компоненте "Настройка Internet Explorer" (IEM), и способы управления этими параметрами в компонентах "Предпочтения групповой политики" или IEAK.

Хорошо обрисована данная проблема в статье, однако в применении к серверу Windows 2008 R2.

Цитирую:

AFAIK, это верно для IE10 под любой ОС (Windows 7,8), главное в этой фразе то, что при использовании IE10 вы можете забыть о IEM Печальная рожица. Как же теперь управлять IE? MS говорит, что у нас теперь два пути: использовать IEAK или использовать GPP. Что нам предлагает IEAK? Создать предварительно настроенный пакет msi, содержащий сам IE10 + наши предустановки для IE10, либо только предустановки. Потом можно назначить эти пакеты для установки средствами групповых политик, например. Но это значит, что изменения в настройки IE на клиентских машинах я могу вносить только во время Logon’а/Startup’а, что мне не подходит, ибо хотелось бы, чтобы некоторые настройки применялись (возвращались к заданным мной значениям) во время фонового обновления групповых политик или форсировано по соответствующей команде. Значит, остается еще вариант с GPP, но тут мы наталкиваемся на новое препятствие: после установки IE в редакторе групповой политики удаляется узел IEM, однако GPP для IE10 почему-то не появляется, что на мой взгляд нелогично. Может быть можно использовать настройки GPP “Internet Explorer 8” для управления IE10? Судя по тому, что пишет MS, это невозможно:

Наличие зависимостей
Элементы предпочтения Internet Explorer 8 могут использоваться для управления параметрами браузера только в Internet Explorer 8. Для управлениями параметрами браузера более ранних версий Internet Explorer используйте элементы предпочтения для Internet Explorer 7 или Internet Explorer 5 и 6.

На всякий случай проверил: в штатном режиме – нельзя (не работает). Так, что дальше? Можно, конечно, попробовать рулить при помощи административных шаблонов и/или внесения изменений в реестр, но это не очень удобно (вернее совсем не удобно, на мой взгляд). Можно использовать Windows 8 для редактирования политики (в этой версии ОС присутствует возможность создания GPP для IE10 (но у меня нет ни одной машины с windows 8). Что же делать? Оказывается, можно, немного допилив напильником, заставить применяться GPP Internet Explorer 8 и для более поздних версий IE. И так, находим на контроллере домена в папочке с политикой, в которой мы настраивали GPP Internet Explorer 8, файлик InternetSettings.xml, открываем его в редакторе (например, в блокноте) и заменяем в нем параметр max=9.0.0.0 на max=11.0.0.0, разрешая тем самым применять настройки GPP для версий IE вплоть до 11. Проверяем – работает!

Надо, конечно, понимать, что
а) способ нештатный
б) настройки GPP для IE8 в лучшем случае являются лишь подмножеством настроек для IE10,
в) а в худшем случае какие-либо параметры могут вообще не являться подмножеством настроек IE10

Все? Не совсем. К сожалению, GPP (по крайней мере та, что мне доступна: GPP для IE8) не является полноценной заменой для IEM (например, в ней невозможно задать список сайтов, наполняющих ту или иную зону безопасности). Существуют ли другие способы для формирования этих списков средствами групповых политик? Да, есть несколько вариантов, например:

логон скрипты
административные шаблоны (“Site to Zone Assignment List”/”Список назначениний зоны для веб-сайтов”)
Внесение изменений в реестр при помощи групповых политик
Логон скрипты отметаем сразу, по той же причине, что и IEAK. Из оставшихся двух вариантов стоило бы предпочесть административные шаблоны, но, к сожалению, после применения политики, настроенной при помощи вышеназванного административного шаблона, пользователь теряет возможность вносить изменения в перечень узлов зон безопасности, а мне нужно оставить пользователям такую возможность. Посему остается вариант с внесением изменений в реестр при помощи групповых политик.

Административный шаблон “Site to Zone Assignment List” используется для внесения изменений в одну из следующую ветку реестра:

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap (для конфигурации компьютера)
HKCU\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey (для конфигурации пользователя)

Решение:

  1. Скачиваем и устанавливаем на контроллер домена Клиентские расширения предпочтений групповых политик для ОС Windows Server 2003 (KB943729) (Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729))

  2. Несмотря на установленное исправление, управлять новыми политиками с контроллера домена с OS MS Windows 2003 R2 Server не получится. Это возможно только с ОС Windows Server поздних версий, либо с компьютеров под управлением ОС не ниже Windows Vista (Клиентские расширения предпочтений групповых политик применяются к серверу 2003 и XP, но в редакторе групповых политик server 2003 и XP они не отображаются). Поэтому, на компьютер, с которого предполагаем управлять политиками скачиваем и устанавливаем, в зависимости от версии операционной системы:

    После установки пакета RSAT, который содержит большинство необходимых администратору утилит и оснасток, они будут доступны в панели управления (Programs & Features – Windows Features).

    01.gif
    01.gif (26.01 КБ) 299251 просмотр

    Различные функции пакета RSAT можно активировать с помощью утилиты командной строки (CLI), которая называется DISM (Deployment Image Servicing and Management), ее использование полностью аналогично процедуре включения/выключения функций и ролей в Windows Server 2008 R2 Server Core.

    DISM позволяет перечислить, установить, удалить, настроить или обновить функции и пакеты в образе системы Windows. Список доступных команд зависит от того, в каком режиме работы находится система: offline или online.

    Чтобы получить список всех доступных функций, набираем в командной строке:

    Код: Выделить всё

    dism /Online /Get-Features

    Чтобы активировать ту или иную функцию, пользуемся командой:

    Код: Выделить всё

    dism /Online /Enable-Feature /FeatureName:<FeatureName>
  3. При необходимости, настраиваем RSAT и начинаем управлять предпочтениями групповых политик с той рабочей станции, куда установили пакет удаленного администрирования.

Дополнение: Для удаления пакета Средства удаленного администрирования сервера для Windows (RSAT) нужно сначала отключить включенные компоненты удаленного администрирования, а затем удалить обновление для Microsoft Windows KB958830.


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение

Ответить