我想使用组策略在计算机/位置/OU 基础上应用 Windows 代理设置(IE 版本目前为 8,但迟早会升级)。目前,我在我的 Active Directory 树中的不同 OU 中分离了用户对象和计算机对象,这些 OU 按类别进一步细分(例如,计算机/PhysicalLocation1、计算机/PhysicalLocation2、用户/BusinessUnit1、用户/BusinessUnit2 等)。
我认为上述问题的典型解决方案是使用 GPO 安全过滤器的组策略环回处理。但是,问题是我想拥有它,以便只有当用户从特定计算机/位置访问网络时,无论用户如何,每个人都通过代理。当相同的用户从不同的位置/OU 访问网络时,他们不会通过代理。
如果我使用 GPO 安全过滤器来确定要应用组策略环回处理的位置,似乎我需要指定用户对象(即与使用代理设置登录 PC 的人相关联的对象)以及计算机对象(即应用代理设置的计算机)。这样做的问题是,当用户在我不希望应用代理设置的位置使用不同的 PC 时,因为用户在 GPO 安全过滤器中,最终会应用代理设置。
有没有简单的方法来查明每台计算机的代理设置?
你似乎在正确的路线上。
环回处理是您需要使用的。环回处理将非常简单地允许您将用户配置 GPO 链接到包含计算机的 OU,并将用户配置应用于这些计算机上的用户。
我不知道您为什么要使用组策略安全过滤。这意味着您已将 GPO 链接到比您要应用它的级别更高的级别。
所以,要使这项工作:
在目标计算机 OU 中,创建一个名为“启用环回处理”的 GPO 并配置
计算机配置\策略\管理模板\系统\组策略\用户组策略环回处理模式>启用,模式:合并
在目标计算机 OU 中,创建一个名为“IE 代理服务器”的 GPO 并配置
User Configuration\Preferences\Control Panel\Internet Settings\ <set required proxy settings>或者,在此 OU 中配置另一个 GPO 以防止用户更改代理设置,使用
Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Disable the Connections page您根本不必使用安全过滤。
只要这些 GPO 仅链接到您要在其中使用代理服务器的计算机的 OU,那么这将起作用,而在其他 OU 中的计算机上,用户将不会获取这些代理设置。