В некоторых организациях при централизованной настройке параметров прокси-сервера в Windows с помощью групповых от администраторов требуется запретить возможность ручной смены настроек прокси-сервера пользователем без прав администратора, заблокировав соответствующие элементы диалогового окна Internet Explorer. Рассмотрим как выполнить эту задачу.
На сегодняшний день Internet Explorer 11 является единственной официально поддерживаемой версией браузера (помимо Edge) и большинство пользователей уже должны перейти на эту версию браузера (Microsoft даже выпускало отдельное обновление с уведомлением об окончании поддержки старых версий IE). И, если в предыдущих версиях, IE предполагал настройку своих параметров через раздел групповой политики Internet Explorer Maintenance(IEM) то, начиная с Internet Explorer 10 (представленном в Windows Server 2012 / Windows 8), централизованная настройка параметров браузера выполняется только через раздел User Configuration -> Preferences -> Control Panel Settings -> Internet Settings (подробности здесь).
После того, как к пользователю будет применена политика с параметрами IE (в нашем примере мы задали только настройки прокси), в любой момент он при желании может изменить назначенные параметры прокси. Хотя эти изменения будут переопределяться каждые 90 минут при очередном цикле обновления политик, хотелось бы полностью заблокировать данное диалоговое окно, запретив пользователям домена без прав администратора менять параметры прокси-сервера, заданные политикой.
В консоли GPMC.msc создайте новую GPO и перейдите в режим редактирования. Откройте раздел Computer Configuration ->Administrative Templates -> Windows Components -> Internet Explorer и включите политику Prevent changing proxy settings.
Назначьте политику на OU с компьютерами и обновите политику на клиенте. Проверьте настройки прокси сервера в IE. Как вы видите, текстовые поля с настройками заблокированы.
Помимо имеющейся политики, запретить смену прокси можно и через реестр. Для этого в разделе User Configuration -> Preferences ->Windows Settings -> Registry создадим в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel ключа типа DWORD с именем Proxy и значением 00000001.
Чтобы политика не действовала на локальных администраторов, нужно на вкладке Delegation добавить нужные группы пользователей на которых не должна применяться политика (например, corp_srvadmins), указав для данных групп в разрешении Apply Group policy – Deny.