El artículo muestra cómo usar las políticas de grupo de Active Directory (GPO) para configurar los ajustes de proxy en equipos unidos a un dominio que ejecutan Windows 10 y Windows Server 2019/2016/2012R2. Esta configuración del servidor proxy es utilizada por todos los navegadores modernos, incluidos Internet Explorer 11, Google Chrome, el nuevo Edge basado en Chromium, Opera y Mozilla Firefox (con la opción Usar configuración de proxy del sistema habilitada de forma predeterminada).
¿Cómo establecer la configuración de proxy a través de la política de grupo?
Para administrar la configuración del servidor proxy del navegador en una computadora con Windows 10/Windows Server 2016/2019, puede usar las Preferencias de directiva de grupo (GPP) o el Kit de administración de Internet Explorer 11 (IEAK 11). Para establecer la configuración de proxy a través de GPO en las computadoras de los usuarios en el dominio de AD, realice las siguientes acciones:
- Abra la Consola de administración de directivas de grupo (gpmc.msc) en una computadora con Windows 10 o Windows Server 2016;
- Seleccione la unidad organizativa (OU) de Active Directory para la que desea aplicar la nueva configuración de proxy. En este ejemplo, queremos aplicar una política de configuración de proxy a la unidad organizativa del usuario (OU=Users,OU=California,OU=USA,DC=theitbros,DC=com);
- Haga clic derecho en OU y seleccione Cree un GPO en este dominio y vincúlelo aquí;
- Especifique un nombre de política, por ejemplo, CA_Proxy;
- Haga clic en la póliza y seleccione Editar;
- Expanda la siguiente sección: Configuración de usuario > preferencias > Configuración del panel de control > Configuración de Internet. Haga clic derecho y seleccione Nuevo > explorador de Internet 10 (esta política también se aplicará para el IE 11);
Nota. En versiones anteriores de Internet Explorer (6, 7 y 9) para configurar los ajustes de Internet Explorer, necesitaba usar la siguiente sección en la consola del Editor de directivas de grupo: Configuración de usuario > Políticas > Configuración de Windows > Mantenimiento de Internet Explorer. Sin embargo, en Internet Explorer 10 (apareció por primera vez en Windows Server 2012 y Windows 8) el Mantenimiento de Internet Explorer (IEM) La sección se eliminó del Editor de GPO. Además, esta sección también desapareció en Windows 7/Windows Server 2008 R2 después de instalar Internet Explorer 10 u 11. Si intenta aplicar la política IEM a una computadora con IE 10 u 11, no funcionará; - En la ventana estándar con la configuración de Internet Explorer, vaya a la Conexiones pestaña y presione el botón Configuración de LAN botón;
- Marque la casilla de verificación "Utilice un servidor proxy para su LAN” y especificar el Dirección y Puerto de su servidor proxy (por ejemplo, 192.168.1.11, puerto 3128). Para habilitar esta opción, presione el botón F6 (el subrayado de esa configuración cambiará el color de rojo a verde). Para deshabilitar una configuración de política específica, presione F7 (Desactive la opción "Configuración de detección automática" de esta manera).
Consejo. El guión bajo verde para el parámetro IE significa que esta configuración está habilitada y se aplicará a través de la directiva de grupo. El subrayado rojo significa que la configuración está configurada, pero deshabilitada. Para habilitar todas las configuraciones en la pestaña actual, presione F5. Para deshabilitar todas las políticas en esta pestaña, use la tecla F8. Nota la Omitir servidor proxy para direcciones locales opción. Cuando esta configuración de política está habilitada, siempre se accede a los recursos locales directamente, no a través de un servidor proxy. Windows reconoce automáticamente la dirección del formato http://theitbros como local e IE al acceder a ellos omite el proxy. Sin embargo, es importante tener en cuenta que las direcciones del formato http://forum.theitbros.local o http://192.168.0.50 no pueden ser reconocidas por el sistema como locales. Para evitar el uso de un proxy para acceder a dichos recursos, debe configurar excepciones para ellos mediante la política No use servidores proxy para direcciones que comiencen con (vea abajo);
- Si necesita especificar la lista de excepciones de direcciones, haga clic en Avanzado. En el campo No use servidores proxy para direcciones que comiencen con especificar la lista de direcciones IP o dominios. Por ejemplo:
192.*;*.theitbros.com
- Presione OK dos veces para guardar la configuración.
Nota. Esta regla solo funciona para Internet Explorer 10 e Internet Explorer 11. Para versiones anteriores de IE, debe crear reglas separadas.
Queda por actualizar la configuración de la política de grupo en las computadoras cliente (con el comando: gpupdate /force) y verificar la configuración del proxy en IE (Panel de control> Red e Internet> Opciones de Internet> Conexiones> Configuración de LAN).
Si desea que la configuración del servidor proxy se aplique a los usuarios en función de la subred de IP donde se encuentran sus dispositivos, puede utilizar la segmentación por nivel de elemento de GPP. Para hacer esto, cambie a la Común pestaña en la configuración de la política y verifique la Orientación a nivel de artículo opción. Clickea en el Orientación botón.
Seleccione Nuevo artículo > Rangos de direcciones IP. Especifique el rango de direcciones IP en su subred para las que desea aplicar la configuración de proxy.
Guarde la configuración de la política. Del mismo modo, cree varias políticas de IE con configuraciones de proxy para diferentes subredes de IP.
Como resultado, la configuración del proxy para los usuarios se aplicará según la red IP (oficina) en la que trabajen (conveniente para empleados móviles con computadoras portátiles).
Consejo. Para configurar la nueva política de IE desde Windows Server 2008/R2, debe descargar Plantillas administrativas para Internet Explorery copie los archivos Inetres.admx e Inetres.adml en la carpeta %SYSTEMROOT%PolicyDefinitions.
Además, puede configurar los ajustes del proxy de IE usando el registro. Ampliar la sección GPP Configuración de usuario > preferencias > Registro y cree 3 parámetros de registro en la siguiente clave de registro:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings]:
- Habilitar proxy (REG_DWORD) = 00000001;
- Servidor proxy (REG_SZ) = 192.168.1.11:3128;
- Anulación de proxy (REG_SZ) = 192.*;*.theitbros.com.
Configuración de proxy para equipos en directiva de grupo
De forma predeterminada, la configuración del proxy de IE es por usuario. Con el GPO, puede aplicar la configuración de proxy a todos los usuarios de la computadora. Para hacer esto, vaya a la siguiente sección en la consola del Editor GPO: Configuracion de Computadora > Plantillas Administrativas > Componentes de Windows > explorador de Internet. Habilitar la política Realice la configuración de proxy por máquina (en lugar de por usuario).
Nota. La misma configuración se puede habilitar a través del registro:
Clave REG: HKLMSoftwarePoliciesMicrosoftWindowsCurrentVersionConfiguración de Internet
Parámetro DWORD: ProxySettingsPerUser = 0
Para aplicar la configuración a los objetos de la computadora, habilite también la política Configurar el modo de procesamiento de bucle invertido de la directiva de grupo del usuario en Configuración del equipo > Políticas > Plantillas administrativas > Sistema > Política de grupo.
¿Cómo aplicar la configuración del proxy WinHTTP a través de GPO?
De forma predeterminada, el servicio WinHTTP no utiliza la configuración de proxy configurada en Internet Explorer. Como resultado, algunos servicios del sistema (incluido el servicio de actualización de Windows: Wususerv) no podrán acceder a Internet.
Verifique la configuración actual del proxy WinHTTP con el comando:
netsh.exe winhttp show proxy
Configuración actual del proxy WinHTTP:
Acceso directo (sin servidor proxy).
Para habilitar el proxy WinHTTP para una computadora a través de un GPO, debe configurar un parámetro de registro especial.
Primero, debe configurar un proxy para WinHTTP en la computadora de referencia. La forma más sencilla es importar la configuración del proxy desde IE:
netsh winhttp import proxy source=ie
Estos ajustes se guardarán en el Configuración de WinHttp parámetro bajo la clave de registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionConfiguración de InternetConexiones.
Ahora abra su GPO de proxy y vaya a Configuracion de Computadora > preferencias > Configuración de Windows > Registro > Nuevo > Asistente de registro.
Seleccione computadora local y especifique la ruta completa al Configuración de WinHttp parámetro.
Queda por hacer clic en Finalizar, actualizar la política en las computadoras y asegurarse de que la configuración del proxy WinHTTP se aplique correctamente.
De manera predeterminada, si configura la configuración del servidor proxy en Windows a través del GPO, los usuarios de la computadora pueden cambiar la configuración del proxy ellos mismos.
Tenga en cuenta que la configuración del proxy en Windows se puede editar usando las opciones de IE y el panel de control de configuración moderno.
Puede evitar que los usuarios cambien la configuración del proxy en Windows usando el "Impedir cambiar la configuración del proxy” opción de GPO adicional. Este parámetro está presente en las secciones GPO del usuario y del equipo.
- Configuración del equipo > Políticas > Plantillas administrativas > Componentes de Windows – Internet Explorer
- Configuración de usuario > Políticas > Plantillas administrativas > Componentes de Windows Internet Explorer
Si habilita esta política y la aplica a la computadora del dominio, los campos con la configuración de proxy en Windows se bloquearán y el título aparecerá a continuación: Algunas configuraciones son administradas por el administrador del sistema.
Insinuación. La configuración de la sección Configuración del equipo tiene prioridad sobre la configuración del usuario.
Por lo general, desea utilizar una forma más flexible de otorgar permisos para cambiar la configuración del proxy en las computadoras. Por ejemplo, puede restringir la configuración del proxy para todos los usuarios, excepto los miembros de la ca_workstation_admins grupo de seguridad del dominio.
- Cree un nuevo GPO con la configuración de proxy (o edite uno existente);
- Vaya a Preferencias de directiva de grupo (Configuración de usuario > preferencias > Configuración de Windows > Registro) y crea dos valores de registro:
El primer parámetro prohíbe cambiar la configuración del proxy:
Colmena: HKEY_CURRENT_USER
Ruta clave: SoftwarePolíticasMicrosoftInternet ExplorerPanel de control
Nombre del valor: Proxy
Tipo de valor: REG_DWORD
Datos de valor: 00000001
El segundo parámetro bloquea el lanzamiento de la ventana de IE con la configuración del proxy:
Colmena: HKEY_CURRENT_USER
Ruta clave: SoftwarePolíticasMicrosoftInternet ExplorerRestricciones
Nombre del valor: Sin opciones de navegador
Tipo de valor: REG_DWORD
Datos de valor: 00000001
- Estas políticas se aplicarán a todos los usuarios de computadoras;
- Para evitar que las políticas se apliquen a un grupo de seguridad específico, debe copiar estos dos parámetros, establecer un pedido más grande y cambiar sus valores a 00000000;
- A continuación, abra las propiedades de cada una de estas dos configuraciones de registro, vaya a Común > Orientación a nivel de elemento > Orientación;
- Cree una regla de orientación nem: Nuevo > Grupo de seguridad > proporcione un nombre de grupo (ca_workstation_admins);
- Cree una regla de orientación similar para el segundo parámetro de registro;
- Como resultado, si un usuario del grupo especificado inicia sesión en la computadora, la configuración del proxy para él no se bloqueará.