Что это такое?
Объект групповой политики является компонентом групповой политики, который используется в системах Microsoft для управления учетными записями пользователей и действиями пользователя. Редактор локальной групповой политики – это оснастка Microsoft Management Console (MMC), которая обеспечивает единый пользовательский интерфейс, с помощью которого можно управлять локальными групповыми политиками.
В редакторе локальной групповой политики администратор может редактировать локальные GPO, пользовательские настройки и определять сценарии для определенных задач и процессов.
О том как настроить GPO в домене Active Directory читайте инструкцию:Управление групповыми политиками Active Directory (AD GPO)
Pac-файл
Как мы уже упоминали, PAC-файл является JavaScript-скриптом, однако количество инструкций в нем жестко ограничено. Разберем некоторые из них.
isPlainHostName(host) – истина если host – “плоское” имя хоста, т.е. обычное NetBIOS-имя и т.п. Позволяет определять обращения к хостам локальной сети по простому имени.
dnsDomainIs(host, domain) – истина, если домен в запросе (host) совпадает с заданным в директиве domain.
isResolvable(host) – истина, если доменное имя удается разрешить. Данную инструкцию следует использовать осторожно, так как она делает дополнительный DNS-запрос, что может увеличить нагрузку на сервера и ухудшить время отклика.
isInNet(host, pattern, mask) – истина, если IP-адрес хоста совпадает с шаблоном, где pattern – шаблон сети, mask – маска. Например, 192.168.0.0, 255.255.255.0.
shExpMatch(str, shexp) – истина, если строка совпадает с шаблоном, в качестве строки можно использовать host или url, при этом следует помнить, что шаблон не является регулярным выражением.
Этих инструкций вполне достаточно, чтобы составить достаточно подробные и разветвленные правила для работы с прокси-сервером. Попробуем составить реальный сценарий.
Прежде всего укажем функцию:
function FindProxyForURL(url, host)
{
...
}Данная функция получает от браузера URL и host из запроса и в ответ должна вернуть адрес прокси-сервера. Внутри фигурных скобок следует располагать инструкции и условия, в зависимости от выполнения которых браузеру будет возвращен тот или иной результат.
Одноранговая сеть
В одноранговых сетях обычно применяются прозрачные прокси, не требующие настройки параметров браузера, однако в ряде случаев, например, для аутентификации, от прозрачности приходится отказываться, следовательно, возникает потребность в WPAD. Далее мы будем рассматривать настройку на примере роутера, настроенного по нашей статье: Ubuntu Server. Настраиваем роутер NAT DHCP Squid3.
Открытие редактора групповой политики windows
Чтобы открыть консоль управления GP (Group Policy) откройте окно Run с помощью комбинации клавиш Win R, в открывшемся окне введите:
gpedit.msc
В результате перед вами откроется редактор GP.
Пример 2 настройка запрета запуска программ для пользователей
Откройте редактор GP, в древовидной структур найдите . В правой части окна выберете Don’t run spicified Windows Applications. С помощью двойного щелчка мыши откройте настройки политики.
В открывшемся окне выберете опцию Enabled, а и нажмите кнопку Show. В открывшийся список введите приложения, запуск которых будет запрещен для пользователя от имени которого производятся настройки.
Раздача настроек прокси-сервера через групповые политики gpo
При использовании прокси сервера в доменной сети встаёт задача раздать настройки прокси сервера для всех компьютеров в домене, в групповых политиках есть возможность указать настройки для браузера Internet Explorer разных версий
Но с прокси к сожалению этот вариант не всегда работает, и чаще не работает совсем. При поисках был найден единственный рабочий вариант, который заключается в раздаче ветки реестра с настройкой прокси в обозревателе. Далее рассмотрим это решение.
Имеется прокси сервер с адресом 192.168.3.253 порт 8080
На контроллере домена вручную выполняем настройку параметров прокси сервера в браузере Internet Explorer. Собственно с него мы будем брать потом ветку реестра как эталон и раздавать её на весь домен.
Создаем политику в домене и открываем её в редакторе управления групповыми политиками. Настройки прокси у нас будут раздаваться для пользователя вошедшего в систему, идем
Конфигурация пользователя->Настройка->Конфигурация Windows->Реестр
, и создаем элемент реестра, через
Мастер реестра.
Далее
Идем по пути
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings
и выбираем все опции кроме (по умолчанию)
Жмем Готово, затем проверяем добавленные настройки, правильно ли у нас добавился
ProxyServer,
ищем его в списке слева и проверяем значение.
Готово. Далее распространяем политику на подразделение с пользователями, которым нужно раздать настройки прокси и проверяем раздаются ли настройки на клиентские машины.
Если не получилось, вот ссылка на видео в котором аналогичная настройка выполняется для англоязычной версии Windows.
Сети active directory
Так как все наши статьи преемственны, то далее будет подразумеваться что WPAD настраивается для работы с роутером в сети Active Directory, описанного нами в цикле Настраиваем Squid для работы с Active Directory, таким образом данный материал может служить его логическим завершением.
Начнем с настройки DHCP, откроем соответствующую оснастку и перейдем к списку серверов, щелкните правой кнопкой мыши на пункт IPv4 и выберите Предопределенные параметры.
В открывшемся окне нажмите Добавить
- Имя – WPAD
- Тип данных – строка
- Код – 252
