W2012R2 GPO proxy, vezérlőpult

 ( makgab | 2018. március 26., hétfő - 20:44 )

Üdv!
W2012R2 esetén GP-ből pontosan milyen beállítással lehet a proxy-t megadi?
Illetve a Vezérlőpultot a user ne tudja elérni (átállítani).

Ez csak IE-vel működik?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Milyen böngészővel szeretnéd, hogy menjen? Még most is az IE féle beállítás az alap, amit a chrome át tud venni, a firefox viszont nem nagyon hatódik meg tőle. Én , ha jól rémlik, inkább registry-be vittem fel wpad.dat url-t csoportházirenden át.

Amiket használok, registry jegyzékek és működnek Windows 10 Edge és Chrome alatt is:
Felhasználói konfig/Beállítások/Windows beállításai/beállításjegyzék (magyarul regisztri :D)
Ág: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Bejegyzés(RegSZ típus): AutoConfigURL

Értéknek be kell írni egy a LAN-on futó webszerveren található wpad.dat állomány elérési útját (pl: http://valahol.ceges.halon/wpad.dat)

A wpad.dat tartalma simán lehet ilyen:
return "PROXY proxy.ceges.halon:8080";
De be lehet állítani bene, hogy mely helyi címeket érjen el a kliens direktbe, vagy más okosságokra is fel lehet készíteni, asszem javascript alapú, de tele a net példákkal, ha wpad néven nem találod, proxy pac néven tuti lesz. Elvileg több proxy-t is felvihetsz, ha az egyiket nem éri el a böngésző, akkor a következőt fogja használni.

PS:
Biztos van egyszerűbb mód, de tartományi gépekkel működik. Viszont felviheted DNS-be és DHCP opció kódban is a proxy elérését, ahhoz is kell wpad állomány, de nem kell tartományi gépnek lenni, elég ha az automatikus konfig be van pipálva a böngészőben, ami a legtöbbször az alapértelmezett.

Minden böngészővel szeretném, hogy működjön. Kézzel beállítva működik is (IE,Chrome,FF).
A GP-ból csak félig meddig veszi át, pl. Megadtam neki (IE10): 10.0.0.254 3128
A win8.1 gép annyit vett át, hogy bekapcsolta a proxy-t, IP üres, a port: 80

Ez bug vagy feature? :)

Meg azt szeretném, hogy a user ne tudja átállítani (az egész vezérlőpultot).

A wpad müxik chrome alatt is, firefox nyűgös. Én simán blokkoltam a proxy nélküli forgalmat, ha nagyon elállítja, magára vessen a júzer, amúgy meg visszaírja a beállítást a gp frissítés. El lehet külön beállítással fejteni a vezérlőpultot.
Telepíts RSAT-ot amúgy egy kliensre, úgy rémlik, kellene lennie IE 11-es beállításnak is, csak lehet a szerveren nincs még GP sablon erre.

Szia,

Többen írták a wpad-ot, ez jó megoldás, vezérlőpultra pedig user settings\policies\administrative templates\control panel\prohibit access to... kulcs.

Vagy ha valamit mégis engedélyezni akarsz (pl monitor beállítások), akkor ugyanitt a show only specified... kulcs a barátod.


Vizsgára felkészülés végett keresek "kidobásra" szánt menedzselhető Cisco switch-eket és routereket, leginkább Pest és Bács-Kiskun megye területén.

Én írtam, többször :D

Nem néztem a neveket, csak végigszaladtam a hozzászólásokon :D De ha többen vagy, akkor nincs probléma, egyéb esetben pedig a hangok súgták :P


Vizsgára felkészülés végett keresek "kidobásra" szánt menedzselhető Cisco switch-eket és routereket, leginkább Pest és Bács-Kiskun megye területén.

Köszi, már emlékszem. :)
Erre gondoltok:
https://en.wikipedia.org/wiki/Web_Proxy_Auto-Discovery_Protocol
https://en.wikipedia.org/wiki/Proxy_auto-config

Pl.:
http://wpad.example.com/wpad.dat

function FindProxyForURL(url, host) {
// our local URLs from the domains below example.com don't need a proxy:
if (shExpMatch(host, "*.example.com"))
{
return "DIRECT";
}

// URLs within this network are accessed through
// port 8080 on fastproxy.example.com:
if (isInNet(host, "10.0.0.0", "255.255.248.0"))
{
return "PROXY fastproxy.example.com:8080";
}

// All other requests go through port 8080 of proxy.example.com.
// should that fail to respond, go directly to the WWW:
return "PROXY proxy.example.com:8080; DIRECT";
}

# vagy pl.:

function FindProxyForURL(url, host)
{
return "PROXY proxy.example.com:8080; DIRECT";
}

VM-ben tettem egy próbát:

GPO - User Configuration - Policies - Aministrative Templates: Policy definitions... - Control Panel - Prohibit access to Control Panel and PC Settings: Enabled

GPO - User Configuration - Preferences - Windows Settings - Registry - New -> Registry Item:
ProxyEnable: 1
ProxyOverride: ;< local >
ProxyServer: 10.0.0.250:3128

A Firefox persze nem törődik vele, Chrome ok.

A "Prohibit access to Control Panel and PC Settings: Not Configured" esetén a Chrome is kilátott a netre. :o

Powershell internet/proxy beállítások:
Get-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings'

Róka:

@echo off

cd /D "%APPDATA%\Mozilla\Firefox\Profiles"
cd *.default
set ffile=%cd%

echo user_pref("network.proxy.http", "192.168.4.254");>>"%ffile%\prefs.js"
echo user_pref("network.proxy.http_port", 8080);>>"%ffile%\prefs.js"

echo user_pref("network.proxy.ftp", "192.168.4.254");>>"%ffile%\prefs.js"
echo user_pref("network.proxy.ftp_port", 8080);>>"%ffile%\prefs.js"

echo user_pref("network.proxy.socks", "192.168.4.254");>>"%ffile%\prefs.js"
echo user_pref("network.proxy.socks_port", 8080);>>"%ffile%\prefs.js"

echo user_pref("network.proxy.ssl", "192.168.4.254");>>"%ffile%\prefs.js"
echo user_pref("network.proxy.ssl_port", 8080);>>"%ffile%\prefs.js"

echo user_pref("network.proxy.share_proxy_settings", true);>>"%ffile%\prefs.js"

echo user_pref("network.proxy.type", 1);>>"%ffile%\prefs.js"

REM echo user_pref("network.proxy.no_proxyes_on", 1);>>"%ffile%\prefs.js"
REM echo user_pref("network.proxy.autoconfig_url", "");>>"%ffile%\prefs.js"

set ffile=
cd %windir%

Ezt felhasználói startup scriptbe kell tenni? Érdekes cuccnak néz ki.

startup is lehet, vagy egyszer beállítós, attól függ :)
én is vadásztam valahol, nagyjából műxik, de a végére nem jutottam vele.

A kicsit fejlettebb verziója (azt cert importra használom) végigmegy mindegyik profilkönyvtáron:

Set FFProfdir=%Appdata%\mozilla\firefox\profiles
Set CERTDIR=p:\bat\cert
CD %FFProfDir%
c:
DIR /A:D /B > "%Temp%\FFProfile.txt"
FOR /F "tokens=*" %%i in (%Temp%\FFProfile.txt) do (
CD /d "%FFProfDir%\%%i"
COPY cert8.db cert8.db.orig /y
For %%x in ("%CertDir%\http_proxy_signing_ca.cer") do "%Certdir%\certutil.exe" -A -n "Cert1" -i "%%x" -t "TCu,TCu,TCu" -d .
)
DEL /f /q "%Temp%\FFProfile.txt"

Firefox esetén ezt lehet tenni (10-20 gép esetén nem macera):
* A $MOZILLA_INSTALLED_DIR/firefox.exe mellé kell egy "mozilla.cfg":

lockPref("app.update.enable", false);
lockPref("network.proxy.type", 5);

// network.proxy.type = 5: A rendszer proxy használata

* A $MOZILLA_INSTALLED_DIR/defaults/pref könyvtárba "local-settings.js":

pref("general.config.obscure_value",0); pref("general.config.filename","mozilla.cfg");

Kipróbáltam, szépen működik.

Chrome esetén ezt kipróbálom. AD nélkül is mennie kell (?):

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force

Tudom ez nem a kérdésre válasz, de a port átírányítás (http => proxy) nem megoldható?
Ebben az esetben akár minden forgalom a proxyn át mehetne.

A HTTP müxik, de mi van a HTTPS-sel? :D Ott azért (ha jól tudom) jobban kell trükközni
Minden kínjával együtt jobb a külön, mint a tűzfalba integrált, valamint ha jól rémlik ha proxyhitelesítést szeretnél, az se megy transzparensen, bár mintha régen az SBS-be épített proxy tudott volna ilyesmit.

Nálunk Astaro (Sophos UTM) van, ott a ca certjét bele kell importálni a kliensekbe, és megoldja.