Редактирование реестра gpo отмена. Как отменить действия групповой политики на локальном компьютере.

Добрый день! Уважаемые читатели и гости 1-го из огромнейших IT порталов Pyatilistnik.org. В прошедший раз мы с вами разобрали, как скопировать файл и папку через групповую политику. Сейчас мы вновь воспользуемся их способностями и разглядим ситуацию, при которой для вас нужно настроить запрет конфигурации опций прокси-сервера с помощью GPO для браузеров Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер. Мы разглядим для что это необходимо, что это даст в практическом выражении для системного админа.

Для чего же необходимо убирать возможность конфигурации опций прокси-сервера

Перед практической частью я бы желал обрисовать настоящие случаи из собственной практики, где мне пришлось ограничивать юзеров в данном вопросе.

  1. Первый пример, я работаю в чрезвычайно большой компании, это предполагает. что некие маленькие либо рутинные задачки проектов либо под проектов могут делать подрядчики. Для подрядчиков есть отдельный терминальный стол, где они варятся. Для неких из их нужны особенные условия, к примеру запрет выхода в веб, но при этом иметь возможность обращаться к локальным ресурсам. Особо продвинутые могут попробовать отыскать бесплатные адреса прокси и прописать их в браузере, чтоб этого не вышло нужно убрать у их возможность поменять опции прокси-сервера.
  2. Второй пример, это RDS ферма, где так же работают сотрудники компании. Они выходят в веб через определенный шлюз. Чтоб это не обойти прописав в настройках посторонний прокси сервер, необходимо заблокировать у их такую возможность. На самом деле вариантов внедрения чрезвычайно много.

Методы запрета конфигурации опций прокси сервера

В данном примере я покажу для вас несколько вариантов, которые вы можете употреблять по своим требованиям. 1-ый вариант, это внедрение ISE опций групповой политики, 2-ой вариант, это внедрение ключей реестра.

Благодаря данной аннотации вы можете запретить изменение опций прокси в Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер, в разделе прокси-сервер в Windows 10

И так у меня в домене Active Directory есть комп W10CL02 под управление операционной системы Windows 10 и юзер Барбоскин Геннадий.

Мне бы хотелось запретить ему изменять опции прокси сервера в Internet Explorer и в настройках Proxy на уровне системы. В прошедший раз мы с вами через групповые политики назначили на его компе свои опции прокси-сервера, которые были прописаны в настройках “Параметры – Прокси сервер

или же в “Настройках характеристик локальной сети” в Internet Explore 11.

Вся неувязка заключается в том, что Геннадий умеет изменять эти опции и знает, что для этого не требуется наличие административных прав в системе. Это не порядок и давайте это исправлять. Откройте оснастку “Управление групповой политикой”, можно из окна выполнить, введя gpmc.msc

Читайте также  Как в ворде 2007 сохранить как. Microsoft Word 2007 — как сохранить чтобы открывалось в Word 2003

Найдите ваше организационное подразделение к которому вы будите использовать объект групповой политики, здесь необходимо не забывать, что вы сможете настроить ограничение на уровне юзера либо на уровне компа, ежели сделаете на уровне компа, то это будет распространяться на всех его юзеров, традиционно это делают на терминальных серверах. В моем примере я сделаю настройку для компа, но и покажу и для юзера. Создаем новейший объект GPO и задаем ему необходимое для вас имя. Перебегаем к ее редактированию.

Откройте ветку опций, ежели для компьютера:

Конфигурация компа – Политики – Административные шаблоны – Составляющие Windows – Internet Explorer – Запретить изменение характеристик прокси (Computer Configuration – Administrative Templates – Windows Components – Internet Explorer – Prevent changing proxy settings)

Включение параметра “Запретить изменение характеристик прокси” отнимет права на изменение данной функции.

Откройте ветку опций, ежели для пользователя:

Конфигурация юзера – Политики – Административные шаблоны – Составляющие Windows – Internet Explorer – Запретить изменение характеристик прокси (User Configuration – Administrative Templates – Windows Components – Internet Explorer – Prevent changing proxy settings)

хочу напомнить, что опции на уровне компа наиболее приоритетнее, чем политика на юзера, потому ежели на уровне компа стоит запрет, а на уровне юзера разрешение, то суммарным результатом будет запрет

Произведем обновление групповых политик на компе юзера и проверим итог нашей политики по ограничению опций прокси-сервера. Ежели политика была нацелена на комп, то она применится сходу ,если на юзера ,то ему придется произвести выход из системы, чтоб узреть данные опции. При последующей авторизации я зашел в опции Internet Explorer, где я вижу, что политика удачно отработала.

На вкладке “Подключения – Опции сети” я не могу взаимодействовать со вкладкой “Прокси-сервер: употреблять прокси-сервер для локальных подключений (не применяется для коммутируемых либо VPNподключений)”, она просто неактивна.

Если попробовать поменять опции для Google Chrome либо Mozilla, то вас перекинет в характеристики Windows либо же на вкладку подключений Internet Explorer, где вы так же не можете ничего изменить.

В Edge та же песня, из вкладки “Дополнительно – Открыть характеристики прокси-сервера

То же самое можно проверить в параметрах Windows 10 в разделе “Прокси-сервер”, где у меня не активен ползунок “использовать прокси-сервер“. Ограничения непревзойденно работают.

Как включить запрет конфигурации опций прокси через реестр Windows

Если вы не в курсе, то любые опции которые вы меняете через групповые политики и расширения ISE, это просто изменение ключей реестра Windows на удаленной системе. Зная, это вы сможете создавать ограничения и через ключи, которые сможете распространять через скрипты, туже групповую политику. Нам будет нужно сделать два ключа реестра, делать я это буду так же через объект GPO сделанный ранее, но уже для вас нужно будет перейти в раздел преференций:

Конфигурация юзера – Опции Конфигурация Windows – Реестр (User Configuration – Preferences – Windows Settings – Registry)

тут нужно будет кликнуть правым кликом мыши по пустому месту и сделать новейший элемент реестра.

Читайте также  Как удалить игру из steam. Удаление игры в Steam

В свойствах окна необходимо настроить:

  • В области “действие” выберите пункт “Обновить”, в итоге этого деяния имеющийся параметр реестра будет обновлен
  • В разделе “Куст” выберите HKEY_CURRENT_USER
  • В пути к разделы укажите SoftwarePoliciesMicrosoftInternet ExplorerControl Panel
  • В имени параметра пропишите Proxy
  • Тип параметра будет REG_DWORD
  • Значение 1, будет активировать запрет на изменение опций прокси-сервера в Windows для хоть какого браузера Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер.
  • База – укажите десятичный формат

У меня вышло вот так

Если вы желаете вообщем ограничить просмотр параметров Internet Explorer, то сможете сделать ключ NoBrowserOptions:

В свойствах окна необходимо настроить:

  • В области “действие” выберите пункт “Обновить”, в итоге этого деяния имеющийся параметр реестра будет обновлен
  • В разделе “Куст” выберите HKEY_CURRENT_USER
  • В пути к разделы укажите SoftwarePoliciesMicrosoftInternet ExplorerRestrictions
  • В имени параметра пропишите NoBrowserOptions
  • Тип параметра будет REG_DWORD
  • Значение 1, будет активировать запрет на доступ к свойствам IE
  • База – укажите десятичный формат

теперь попытавшись открыть характеристики Internet Explorer у вас покажется предупреждение:

Операция отменена из-за работающих для компа ограничений. Обратитесь к собственному системному администратору

Вообще полный перечень ключей для конфигурации опций Internet Explorer вы сможете отыскать по ссылке слева. Так же желаю отметить, что вы просто сможете вносить конфигурации в реестре и на не доменных рабочих станциях, для этого для вас необходимы права админа. дающие права на удаленное подключение к реестру. Так же вы сможете употреблять ветки реестра и значения в собственных скриптах на базе PowerShell, вариантов уйма.

Если для вас лень самим создавать эти ключи реестра, то я подготовил для вас уже готовые, для вас осталось их просто скачать

На этом у меня все, мы с вами разобрали способы запрещающие изменять опции прокси-сервера в браузерах Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер. С вами был Иван Семин, создатель и создатель IT портала Pyatilistnik.org. До скорых встреч.

Иван Семин

Групповые политики — это основной инструмент управления юзерами в домене. С их помощью админ может настраивать фактически любые характеристики рабочей среды юзера. Все, начиная от запрета на пуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и лишь члены группы админов домена либо компании имеют к ним доступ.

Читайте также  Как в excel защитить формулы. Защита ячеек от редактирования в Microsoft Excel

Можно ли отменить действие групповых политик на индивидуальном компе, без прав админа домена? Выясним это. В качестве тестируемого будем употреблять комп с установленной MS Windows 7, который является членом домена. Все деяния проводим под обыкновенной учетной записью, не имеющей в домене никаких административных прав.
За применение групповых политик на локальном компе в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно поглядеть прямо в «Диспетчере задач», на вкладке «Службы».
Либо в оснастке Службы (Services).
Служба «gpsvc» запускается от имени локальной системы, и не приостановить, не поменять характеристики пуска ее из графической оснастки мы не сможем.
Как вариант можно с помощью утилиты «psexec» запустить командную консоль от имени системы и потом приостановить службу командой «net stop gpsvc»
Решение это временное. Хотя служба и остановлена, поменять характеристики ее пуска мы все равно не сможем, и при последующей перезагрузке она будет запущена. Чтоб поменять режим пуска службы нам будет нужно правка реестра.
Опции службы находятся в разделе «HKLMSYSTEMCurrentControlSetServicesgpsvc». По умолчанию изменение характеристик этого раздела запрещено, так что до этого чем приступать к его редактированию, нам нужно получить на это права. Жмем правой кнопкой мыши на разделе и избираем пункт «Разрешения».

Нужно поменять обладателя раздела, для этого перебегаем в доп характеристики сохранности и избираем обладателем свою учетную запись.
Даем для себя полные права и, на всякий вариант, удаляем всех из перечня доступа.

Возвращаемся к настройкам службы. За режим пуска отвечает параметр Start. По умолчанию он равен 2, что значит режим пуска Авто. Для отключения службы ставим 4.

Отключив таковым образом службу клиента групповой политики, вы временами будете получать в трее уведомления о недоступности службы Windows.
Чтоб этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient
Данным методом можно отключить действие групповых политик. При этом не непременно иметь права админа в домене, довольно только заходить в группу локальных админов на ПК. Все вышеизложенное применимо лишь на компах с установленными ОС: Windows 7 либо Vista. В наиболее ранешних операционных системах службы «gpsvc» нет, а за применение групповых политик отвечает служба «Winlogon».

Внимание!

Перед хоть каким вмешательством в реестр непременно делайте его резервную копию, чтоб в случае чего же оперативно откатить изменения.

Оставьте комментарий