Заборона зміни налаштувань проксі-сервера за допомогою групової політики

У деяких організаціях при централізованій налаштування параметрів проксі-сервера в Windows за допомогою групових від адміністраторів потрібно заборонити можливість ручної зміни налаштувань проксі-сервера користувачем без прав адміністратора, заблокувавши відповідні елементи діалогового вікна Internet Explorer. Розглянемо як виконати це завдання.

На сьогоднішній день Internet Explorer 11 є єдиною офіційно підтримуваної версією браузера (крім Edge) і більшість користувачів вже повинні перейти на цю версію браузера (Microsoft навіть випускало окреме оновлення з повідомленням про закінчення підтримки старих версій IE). І, якщо в попередніх версіях, IE припускав настройку своїх параметрів через розділ групової політики Internet Explorer Maintenance (IEM) то, починаючи з Internet Explorer 10 (представленому в Windows Server 2012 / Windows 8), централізована настройка параметрів браузера виконується тільки через розділ  User Configuration -> Preferences -> Control Panel Settings -> Internet Settings (Подробиці тут).

Після того, як до користувача буде застосована політика з параметрами IE (в нашому прикладі ми задали тільки настройки проксі), в будь-який момент він при бажанні може змінити призначені параметри проксі. Хоча ці зміни будуть перевизначатися кожні 90 хвилин при черговому циклі поновлення політик, хотілося б повністю заблокувати дане діалогове вікно, заборонивши користувачам домену без прав адміністратора змінювати параметри проксі-сервера, задані політикою.

В консолі GPMC.msc створіть нову GPO і перейдіть в режим редагування. Відкрийте розділ Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer і включіть політику Prevent changing proxy settings.

Призначте політику на OU з комп'ютерами і обновіть політику на клієнті. Перевірте налаштування проксі сервера в IE. Як ви бачите, текстові поля з настройками заблоковані.

Крім наявної політики, заборонити зміну проксі можна і через реєстр. Для цього в розділі  User Configuration -> Preferences ->Windows Settings -> Registry створимо в гілці HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Control Panel ключа типу DWORD з ім'ям Proxy і значенням 00000001.

Щоб політика не діяла на локальних адміністраторів, потрібно на вкладці Delegation додати потрібні групи користувачів на яких не повинна застосовуватися політика (наприклад, corp_srvadmins), вказавши для даних груп в дозволі Apply Group policy - Deny.