使用组策略首选项在 Windows 上配置代理设置

在本文中，我们将了解如何使用组策略在域中的 Windows 10 计算机上集中配置代理设置。大多数流行的浏览器（例如 Microsoft Edge、Google Chrome、Internet Explorer、Opera）和大多数应用程序都会自动使用 Windows 中设置的代理设置来访问 Internet。我们还将了解如何在 Windows 上设置 WinHTTP 代理设置。

在本文中，我们将了解在受支持的 Windows 版本（Windows 10、8.1 和 Windows Server 2012/2016/2019）中通过组策略配置代理服务器的具体细节。请注意，代理设置在 Windows 7/Server 2008R2、Windows XP/Windows Server 2003（已停止支持）中的设置有所不同。

如何通过 GPO 在 Windows 上设置代理设置？

最初，为了在 Active Directory 域环境中使用组策略集中配置 Internet Explorer 设置（包括代理设置），使用了 Internet Explorer 维护(IEM) 策略。此策略选项位于用户 GPO 部分：用户配置 -> 策略 -> Windows 设置 -> Internet Explorer 维护。 但自 Windows Server 2012/Windows 8 起，IEM 策略已被弃用。现代版本的 Windows 10/Windows Server 2016/2019 中缺少此部分。

在最新的 Windows 版本上，您必须使用组策略首选项 (GPP) 在 GPO 编辑器中配置 IE 和代理设置。还可以选择使用 Internet Explorer Administration Kit 11 (IEAK 11) 的特殊扩展 - 但很少使用。

打开域GPO编辑器控制台（组策略管理控制台 -

GPMC.msc

），选择包含要应用代理设置的用户的 OU，然后创建新策略在此域中创建 GPO，并在此处链接。

转至用户配置 -> 首选项 -> 控制面板设置 -> Internet 设置。在上下文菜单中，选择新建 -> Internet Explorer 10。

要在 Windows 10/Windows Server 2016 上配置代理设置，您需要使用 Internet Explorer 10 项。

提示。尽管没有针对 Internet Explorer 11 的单独选项，但 Internet Explorer 10 策略应适用于 10 以上的所有 IE 版本（在 InternetSettings.xml 策略文件中，您可以看到该选项对从 10.0.0.0 到 99.0.0.0 的所有 IE 版本都有效）。

<FilterFile lte="0" max="99.0.0.0" min="10.0.0.0" gte="1" type="VERSION" path="%ProgramFilesDir%\Internet Explorer\iexplore.exe" bool="AND" not="0" hidden="1"/>

一个特殊的组策略首选项 IE 表单将出现在您的面前，几乎与 Windows 控制面板中的 Internet 选项设置完全相同。例如，您可以指定主页（常规选项卡 -> 主页字段）。

重要。仅仅在组策略编辑器中保存更改是不够的。请注意 Internet Explorer 10 可配置设置的红色和绿色下划线。红色下划线表示不会应用该设置。要保存并应用特定设置，请按F5。参数的绿色下划线表示该 IE 参数将通过 GPP 应用。

可以使用以下功能键：

• F5 - 启用当前选项卡上的所有设置

• F6 - 启用所选设置

• F7 - 禁用所选设置

• F8 - 禁用当前选项卡中的所有设置

要指定代理设置，请转至连接选项卡，然后单击Lan 设置按钮。可以通过以下方式之一配置代理服务器：

• 自动检测设置 - 使用 wpad.dat 文件自动检测设置；

• 使用自动配置脚本 - 自动配置脚本（proxy.pac）；

• 代理服务器 - 代理服务器的 IP 地址或 DNS 名称直接在策略设置中指定。这是最简单的方法，我们将使用它。

选中为 LAN 使用代理服务器选项，并在相应的地址和端口字段中指定代理服务器的 IP/FQDN 名称和连接端口。

通过启用绕过本地地址的代理服务器选项，您可以防止应用程序（包括浏览器）在访问本地资源（格式为

http://localnetwork

）。如果您使用像这样的资源地址

http://web1.a-d.loc

或者

http://192.168.1.5

，那么这些地址不会被 Windows 识别为本地地址。这些地址以及其他不需要代理访问的资源地址都需要手动指定。按高级按钮并将此地址添加到字段不要对以以下格式开头的地址使用代理服务器：

10.1.*;192.168.*;*.a-d.loc;*.local.net

。

提示。 Google Chrome 中的代理设置也可以使用特殊的管理模板通过 GPO 进行设置。此外，您还可以安装适用于 Mozilla Firefox 的 ADMX 模板。

保存策略后，您可以在域控制器上的策略文件夹中查看具有指定浏览器设置的 InternetSettings.xml 文件：

\UKDC1\SYSVOL\a-d.site\Policies\{PolicyGuiID}\User\Preferences\InternetSettings\InternetSettings.xml

GPP 允许您更精细地针对用户/计算机制定策略。为此，使用 GPP 项目级别定位。转到常用选项卡，启用选项项目级定位 -> 定位。

在打开的表单中，指定应用该策略的条件。作为示例，我指出代理配置策略将仅应用于属于 proxy_users 域安全组成员的用户。您可以使用自己的逻辑来分配代理参数。

仍然需要将代理策略链接到具有用户的 AD 容器并更新其策略设置。在用户计算机上应用策略后，应使用新的 IE 设置。您可以在设置 -> 网络和互联网 -> 代理中检查 Windows 10 上当前的代理设置。如您所见，计算机现在使用域策略中指定的代理设置。

要防止用户更改代理服务器设置，可以使用本文。

通过注册表和 GPO 配置代理设置

此外，您可以使用 GPP 策略通过注册表配置 IE 设置。例如，要启用代理服务器，您需要在注册表项HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Internet Settings中配置以下注册表参数。在 GPO 编辑器中，转到用户配置 -> 首选项 -> Windows 设置 -> 注册表部分，并在指定的注册表项下创建三个注册表参数：

• ProxyEnable

  (REG_DWORD) =

  00000001

• ProxyServer

  (REG_SZ) =

  192.168.0.11:3128

• ProxyOverride

  (REG_SZ) =

  https://*.a-d.site;192.168.*;10.1.*;*.contoso.com;<local>

您还可以在此处使用项目级定位来针对特定用户/设备定位您的策略设置。

如果您需要的不是针对每个用户，而是针对整个计算机（每台计算机）创建代理策略，请使用 GPO 部分计算机配置 -> 首选项 -> Windows 设置 -> 注册表 中的 GPP 设置。在注册表项 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings 下设置相同的注册表参数。

通过 GPO 更改 WinHTTP 代理设置

某些系统服务或应用程序（例如 Wususerv 更新服务或 PowerShell）默认情况下不使用用户的代理设置。为了使此类应用程序正常工作并访问 Internet，您需要在 Windows 中配置 WinHTTP 代理设置。

要检查您的计算机上是否配置了 WinHTTP 代理，请运行以下命令：

netsh winhttp show proxy

答案 ”

Direct access (no proxy server)

”表示没有设置代理。

您可以使用以下命令在计算机上手动设置 WinHTTP 代理：

netsh winhttp set proxy proxy.a-d.site:3128 "localhost;10.1.*;192.168.*;*.a-d.site"

或者从用户的 Internet Explorer 设置导入代理设置：

netsh winhttp import proxy source=ie

但是，您将无法通过GPO配置WinHTTP - GPO编辑器中没有相应的参数，并且参数存储在不适合直接编辑的二进制注册表属性中。

在 Windows 上通过 GPO 设置 WinHTTP 代理设置的唯一方法是在参考计算机上配置 WinHTTP 代理，从注册表项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections 导出 WinHttpSettings 参数的值，并通过 GPP 注册表扩展将此参数部署到域计算机。