none
GPO - IE - Proxy - Computer RRS feed

  • Question

  • Bonjour,

    Je sollicite votre aide concernant un problème que je rencontre actuellement. (Je ne sais pas si je post au bon endroit).

    J'ai actuellement un DC2012R2, avec une GPO Proxy IE permettant d'appliquer sur l'ensemble des utilisateurs, un proxy manuellement ainsi qu'une liste de bypass.

    Jusque là tout fonctionne bien, lors de la connexion par un user, la GPO s'applique correctement, et mon utilisateur a son proxy ainsi que sa liste de bypass.

    Cependant, mon problème survient lorsque je veux faire plusieurs choses :

    Je souhaiterais faire en sorte de mettre à jour automatiquement les même paramètres que j'ai côté proxy IE user, mais pour le coup, côté machine.

    Lorsque je fais manuellement sous powershell cette commande : netsh winhttp import proxy source=ie , tout fonctionne bien (utilisateur admin puisque modification de la clé de registre IE/Connection/WinHttpSettings).

    Ce que je souhaiterai donc faire, c'est un script que j'ai déjà commencé à faire, en mettant simplement un gpupdate /force, puis la commande netsh, mais que ce script à l'ouverture de session utilisateur puisse avoir la mise à jour de son proxy ie (fait), mais aussi la mise à jour (qui est la même que celle user) côté machine (les 2 doivent être pareilles).

    J'ai donc essayé plusieurs chose :

    - Lancement du script en script logon user (NOK : L'utilisateur n'étant pas admin (et il ne doit pas l'être) ).

    - Lancement du script en script logon computer (OK : mais ça implique de redémarrer le serveur à chaque fois qu'il y a une maj dans la GPO).

    - Création d'une tâche planifiée : OK/NOK : (NOK côté tâche planifié user (pas les droits nécessaire même avec élévation de privilège) : (OK : lorsque je redémarre mon serveur)

    Actuellement sur un POC, je peux redémarrer le serveur pour faire des tests, sauf qu'en production, c'est pas la même chose.

    J'ai aussi sur la GPO (user + computer) le loopback processing d'actif (je sais pas la meilleur chose mais bon...)

    Je souhaiterais donc savoir si j'ai bien créé ma tâche planifié ou si il y'a un autre moyen, afin de mettre à jour le WinHttp du serveur, sans avoir a aller modifier les clés de registre à la main (qui au passage est impossible à faire quand on met à jour régulièrement sa bypass list).

    J'ai pensé aussi à mettre en place un proxy.pac, mais je ne dev pas en java... donc je ne sais pas comment faire.

    Merci pour les futurs réponses.

    lundi 26 octobre 2020 08:38

Toutes les réponses

  • Bonjour Patrice_LT

    En fait les Internet Settings sont des paramètres utilisateurs, ils font partie du profil.

    Ce que je fais en GPO

    • Paramètres machines ==> Empêcher la modification du proxy

    Template d'administration ==> Composants  Windows ==> Internet Explorer

    Empécher la modification des paramètres du proxy

    • Paramètres Utilisateurs ==> Définir les paramètres du proxy

    Je fais cela par clé de registre : HKCU==> Software==> Microsoft ==> Windows ==> CurrentVersion ==> Internet Settings

    ProxyEnable = 1

    Proxy Server = URL:port

    Paramètres machines ==> Comportement des navigateurs Edge (chromium), chrome, Firefox : définir les paramètres du proxy + verrouillage

    Template d'administration ==> Edge, Chrome ou Firefox

    Définir les paramètres du proxy

    Question : Puisque je définis le comportement des navigateurs - IE n'est plus utilisé - pourquoi doi-je encore définir les Internet Settings ? La réponse est simple : pour certaines Apps (ex. Adobe Creative). Quand on lance certaines app, elles cherchent à aller sur le Net afin de vérifier su la licence est bien valide ... et pour cela elles s'appuient sur les Internet Settings (et pas sur un navigateur).

    Question : Pourquoi paramétrer les navigateurs avec "utiliser un proxy" et pas "Utiliser les paramètres système" (Internet Settings). Comme ça, même si les internet settings ne sont pas configurés correctement, ça fonctionnera quand même.

    GPO que j'applique à tout le domaine - éventuellement avec un filtre WMI sur les serveurs qui ne doivent pas accéder à Internet - car on touche users et computers.

    cordialement

    Olivier

    mardi 27 octobre 2020 06:22