Tags: Web-Browser, Internet Explorer, Gruppenrichtlinien
Wenn Benutzer sich über einen Proxy-Server mit dem Web verbinden sollen, dann liegt es nahe, diese Browser-Einstellung zentral zu konfigurieren. Über Group Policy Prefereneces lässt sich diese Aufgabe erledigen, und zwar einheitlich für die Browser von Microsoft und Google.
Viele Firmen setzen Proxy-Server ein, weil sich damit bestimmte Websites auf eine Blacklist setzen lassen oder weil sie die Ladezeiten von häufig abgerufenen Seiten verbessern. Bei einer größeren Zahl an Clients ist es von Vorteil, wenn man deren Proxy-Einstellungen zentral festlegen kann.
Drei Methoden für die Proxy-Konfiguration
Zu diesem Zweck unterstützen alle modernen Browser mehrere Verfahren. Das einfachste besteht darin, die IP-Adresse und Portnummer des Proxy-Servers explizit einzutragen. Bei Bedarf kann man lokale Adressen und ausgewählte Hosts in eine Liste aufnehmen, so dass der Browser für sie den Proxy umgeht.
Zu den fortgeschrittenen Methoden zählt die Bereitstellung einer Datei für die Proxy Auto-Configuration (PAC), aus der ein Browser die Proxy-Einstellungen auslesen kann. Sie erlaubt ein flexibleres Routing des Web-Traffics, etwa abhängig von Host, Datum und Zeit oder der IP-Adresse des Clients. Ein solches PAC-Script muss in Javascript entwickelt werden.
Schließlich kann man einem Browser die Proxy-Einstellungen über das Web Proxy Auto-Discovery Protocol (WPAD) mitteilen. WPAD nutzt entweder DNS oder DHCP, um dem Browser den Weg zu einer PAC-Datei zu weisen.
Alle Verfahren über GPO konfigurierbar
Alle drei Methoden setzen jedoch voraus, dass man dem User Agent mitteilt, welche davon er verwenden soll. Bei den beiden ersten benötigt er zudem Konfigurationsdaten wie die URL zur PAC-File oder die IP-Adresse des Proxy-Servers.
Für diesen Zweck eignen sich Gruppenrichtlinien, mit denen man die Internet-Optionen von Windows zentral anpassen kann. Sie enthalten die Einstellungen, die man sonst interaktiv in dem Dialog festlegen kann, den man über die Systemsteuerung oder aus dem IE öffnet.
Seit Microsoft mit dem IE10 den Zweig Internet-Explorer-Wartung aus dem GPO-Editor entfernt hat, übernehmen die Group Policy Preferences die Aufgabe der zentralen Proxy-Konfiguration. Erfreulich daran ist, dass sich diese Einstellungen nicht nur auf den IE, sondern auch auf Edge und Chrome auswirken. Man muss also dafür nicht die ADMX-Vorlagen von Google installieren.
GPO für Proxy-Einstellungen erzeugen
Nachdem man ein neues GPO angelegt und mit den OUs verknüpft hat, in denen sich die betreffenden Benutzerkonten befinden, bearbeitet man es im Gruppenrichtlinienverwaltungs-Editor. Dort öffnet man den Zweig Benutzerkonfiguration => Einstellungen => Systemsteuerungseinstellungen => Interneteinstellungen.
Aus dem Kontextmenü führt man den Befehl Neu aus und wählt dabei aus dem Submenü den Eintrag Internet Explorer 10. Einen Eintrag für den IE11 gibt es bis dato nicht. Anschließend erscheint der Dialog, den man bereits aus der Systemsteuerung kennt.
In diesem wechselt man zur Registerkarte Verbindungen und klickt dort auf die Schaltfläche LAN-Einstellungen. Hier ist darauf zu achten, dass der GPO-Editor einzelne Einstellungen mit roten, anderen mit grünen Linien markiert. Rot umrandete Optionen muss man erst mit F6 auf grün umstellen, damit man sie aktivieren kann.
Nutzt man WPAD, dann reicht es, die Checkbox Einstellungen automatisch erkennen anzuhaken.
Kniffliger ist die Zuweisung eines PAC-Scripts, weil sich das Tool hier wieder eigenartig verhält. Zwar existiert ein Eingabefeld für die Adresse der PAC-Datei, aber die Option Script für automatische Konfiguration verwenden ist ausgegraut.
Davon soll man sich aber nicht beirren lassen. Es reicht nämlich, die URL oder den UNC-Pfad einzugeben. Auf den Clients ist die Checkbox nach Anwendung des GPO angehakt.
Eintragen einer IP-Adresse für den Proxy-Server
Wenn man den Proxy-Server manuell eintragen möchte, dann bietet der Dialog dafür ein eigenes Eingabefeld für die IP-Adresse und den Port. Zusätzlich kann man die Option Proxyserver für lokale Adressen umgehen auswählen. Zu bedenken wäre dabei jedoch, dass diese Einstellung nur wirkt, wenn man in die Adresszeile des Browser den bloßen Hostnamen eingibt, bei einem FQDN oder einer IP-Adresse ignoriert er sie.
Über den Button Erweitert gelangt man auf einen Dialog, in dem man abhängig vom Protokoll verschiedene Proxies eingeben kann. Außerdem lässt sich hier die Liste der Server anlegen, die der Browser direkt kontaktieren soll.
Änderungen durch die Benutzer verhindern
Schließlich wird man noch feststellen, dass die Benutzer die zentral gesetzte Proxy-Konfiguration interaktiv in den Internetoptionen ändern können. Dies ist ein typisches Verhalten der Group Policy Preferences, wodurch sie sich von den herkömmlichen Richtlinien unterscheiden. Nach dem nächsten Refresh der GPOs wird die zentrale Einstellung allerdings wiederhergestellt.
Administratoren haben im Fall der Proxy-Konfiguration aber die Möglichkeit, diese durch eine zusätzliche Einstellung gegen Änderungen zu sperren. Diese findet sich unter Benutzerkonfiguration => Administrative Vorlagen => Richtlinien => Windows-Komponenten => Internet Explorer und heißt Änderungen der Proxyeinstellungen verhindern. Danach ist der entsprechende Bereich in den Internetoptionen ausgegraut.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Migration auf Edge: Internet Explorer mit Enterprise Mode weiternutzen
- Microsoft Edge mit GPOs konfigurieren: Neue Einstellungen in Windows 10 1809
- Edge-Browser für Unternehmen: Mehr GPO-Einstellungen, Sandbox mit Hyper-V
- Java über GPOs auf bestimmte Websites beschränken
- Passwort-Manager in Chrome, Edge und Firefox über Gruppenrichtlinien konfigurieren
Weitere Links