Proxy-Server für IE11, Edge und Google Chrome über GPO konfigurieren

    Web-Proxy konfigurieren über GPOWenn Benutzer sich über einen Proxy-Server mit dem Web ver­binden sollen, dann liegt es nahe, diese Browser-Ein­stellung zentral zu kon­figu­rieren. Über Group Policy Prefereneces lässt sich diese Auf­gabe erle­digen, und zwar ein­heitlich für die Browser von Microsoft und Google.

    Viele Firmen setzen Proxy-Server ein, weil sich damit bestimmte Websites auf eine Blacklist setzen lassen oder weil sie die Ladezeiten von häufig abgerufenen Seiten verbessern. Bei einer größeren Zahl an Clients ist es von Vorteil, wenn man deren Proxy-Einstellungen zentral festlegen kann.

    Drei Methoden für die Proxy-Konfiguration

    Zu diesem Zweck unterstützen alle modernen Browser mehrere Verfahren. Das einfachste besteht darin, die IP-Adresse und Portnummer des Proxy-Servers explizit einzutragen. Bei Bedarf kann man lokale Adressen und ausgewählte Hosts in eine Liste aufnehmen, so dass der Browser für sie den Proxy umgeht.

    Zu den fortgeschrittenen Methoden zählt die Bereitstellung einer Datei für die Proxy Auto-Configuration (PAC), aus der ein Browser die Proxy-Einstellungen auslesen kann. Sie erlaubt ein flexibleres Routing des Web-Traffics, etwa abhängig von Host, Datum und Zeit oder der IP-Adresse des Clients. Ein solches PAC-Script muss in Javascript entwickelt werden.

    Schließlich kann man einem Browser die Proxy-Einstellungen über das Web Proxy Auto-Discovery Protocol (WPAD) mitteilen. WPAD nutzt entweder DNS oder DHCP, um dem Browser den Weg zu einer PAC-Datei zu weisen.

    Alle Verfahren über GPO konfigurierbar

    Alle drei Methoden setzen jedoch voraus, dass man dem User Agent mitteilt, welche davon er verwenden soll. Bei den beiden ersten benötigt er zudem Konfigurations­daten wie die URL zur PAC-File oder die IP-Adresse des Proxy-Servers.

    Für diesen Zweck eignen sich Gruppen­richtlinien, mit denen man die Internet-Optionen von Windows zentral anpassen kann. Sie enthalten die Einstellungen, die man sonst interaktiv in dem Dialog festlegen kann, den man über die Systemsteuerung oder aus dem IE öffnet.

    Seit Microsoft mit dem IE10 den Zweig Internet-Explorer-Wartung aus dem GPO-Editor entfernt hat, übernehmen die Group Policy Preferences die Aufgabe der zentralen Proxy-Konfiguration. Erfreulich daran ist, dass sich diese Einstellungen nicht nur auf den IE, sondern auch auf Edge und Chrome auswirken. Man muss also dafür nicht die ADMX-Vorlagen von Google installieren.

    GPO für Proxy-Einstellungen erzeugen

    Nachdem man ein neues GPO angelegt und mit den OUs verknüpft hat, in denen sich die betreffenden Benutzer­konten befinden, bearbeitet man es im Gruppen­richtlinien­verwaltungs-Editor. Dort öffnet man den Zweig Benutzerkonfiguration => Einstellungen => System­steuerungs­einstellungen => Interneteinstellungen.

    Neue Einstellung für die Internet-Optionen einrichten

    Aus dem Kontextmenü führt man den Befehl Neu aus und wählt dabei aus dem Submenü den Eintrag Internet Explorer 10. Einen Eintrag für den IE11 gibt es bis dato nicht. Anschließend erscheint der Dialog, den man bereits aus der System­steuerung kennt.

    Wie man sieht, sind mehrere Optionen rot unterstrichen. Sie werden erst wirksam, wenn man sie mit F6 auf grün umstellt.

    In diesem wechselt man zur Registerkarte Verbindungen und klickt dort auf die Schaltfläche LAN-Einstellungen. Hier ist darauf zu achten, dass der GPO-Editor einzelne Einstellungen mit roten, anderen mit grünen Linien markiert. Rot umrandete Optionen muss man erst mit F6 auf grün umstellen, damit man sie aktivieren kann.

    Nutzt man WPAD, dann reicht es, die Checkbox Einstellungen automatisch erkennen anzuhaken.

    Kniffliger ist die Zuweisung eines PAC-Scripts, weil sich das Tool hier wieder eigenartig verhält. Zwar existiert ein Eingabefeld für die Adresse der PAC-Datei, aber die Option Script für automatische Konfiguration verwenden ist ausgegraut.

    Die Checkbox für die PAC-Option ist zwar ausgegraut, aber die Eingabe der Adresse reicht.

    Davon soll man sich aber nicht beirren lassen. Es reicht nämlich, die URL oder den UNC-Pfad einzugeben. Auf den Clients ist die Checkbox nach Anwendung des GPO angehakt.

    Eintragen einer IP-Adresse für den Proxy-Server

    Wenn man den Proxy-Server manuell eintragen möchte, dann bietet der Dialog dafür ein eigenes Eingabefeld für die IP-Adresse und den Port. Zusätzlich kann man die Option Proxyserver für lokale Adressen umgehen auswählen. Zu bedenken wäre dabei jedoch, dass diese Einstellung nur wirkt, wenn man in die Adresszeile des Browser den bloßen Hostnamen eingibt, bei einem FQDN oder einer IP-Adresse ignoriert er sie.

    Hosts, die der Browser direkt ansteuern soll, lassen sich in diese Liste eintragen.

    Über den Button Erweitert gelangt man auf einen Dialog, in dem man abhängig vom Protokoll verschiedene Proxies eingeben kann. Außerdem lässt sich hier die Liste der Server anlegen, die der Browser direkt kontaktieren soll.

    Änderungen durch die Benutzer verhindern

    Schließlich wird man noch feststellen, dass die Benutzer die zentral gesetzte Proxy-Konfiguration interaktiv in den Internetoptionen ändern können. Dies ist ein typisches Verhalten der Group Policy Preferences, wodurch sie sich von den herkömmlichen Richtlinien unterscheiden. Nach dem nächsten Refresh der GPOs wird die zentrale Einstellung allerdings wiederhergestellt.

    Mit dieser Einstellung lässt sich verhindern, dass Benutzer die Proxy-Konfiguration verändern.

    Administratoren haben im Fall der Proxy-Konfiguration aber die Möglichkeit, diese durch eine zusätzliche Einstellung gegen Änderungen zu sperren. Diese findet sich unter Benutzerkonfiguration => Administrative Vorlagen => Richtlinien => Windows-Komponenten => Internet Explorer und heißt Änderungen der Proxy­einstellungen verhindern. Danach ist der entsprechende Bereich in den Internetoptionen ausgegraut.

    Keine Kommentare