使用组策略限制互联网访问

Question 1

这行不通：）

(据我所知) 没有注册表设置可以启用或禁用互联网访问，也绝对没有 gpo 设置来允许/拒绝互联网使用。我可以想到一些你可以向用户设置的（糟糕但容易移除的）障碍，但最终你应该在防火墙和/或代理服务器上阻止互联网访问。

你可以将网关 IP 地址设置为一个虚假的 IP 地址（这不是一个好主意，因为它会降低 PC 的速度，导致不必要的 LAN 流量，并且用户可以 - 根据他的权利 - 将其改回）：使用 netsh.exe（参见MS Technet 的解释）在登录脚本中
你可能会弄乱 DNS 服务器，这样 PC 就找不到互联网域名（坏主意，因为你必须非常小心，不要弄乱 Windows 域名的东西，很多域名信息都存储在 DNS 中，所以禁用它是不可能的）：参见此 Microsoft 文档对于特定的 gpo 设置
您可以将 Internet Explorer 代理设置设为虚假 IP（这不是个好主意，因为它只会影响 Internet Explorer，而用户可以简单地更改它）

所以我真的建议：安装一个带有（透明）AD/NTLM 身份验证的（透明）squid 代理并在那里阻止特定用户。

Answer

这行不通：）

(据我所知) 没有注册表设置可以启用或禁用互联网访问，也绝对没有 gpo 设置来允许/拒绝互联网使用。我可以想到一些你可以向用户设置的（糟糕但容易移除的）障碍，但最终你应该在防火墙和/或代理服务器上阻止互联网访问。

你可以将网关 IP 地址设置为一个虚假的 IP 地址（这不是一个好主意，因为它会降低 PC 的速度，导致不必要的 LAN 流量，并且用户可以 - 根据他的权利 - 将其改回）：使用 netsh.exe（参见MS Technet 的解释）在登录脚本中
你可能会弄乱 DNS 服务器，这样 PC 就找不到互联网域名（坏主意，因为你必须非常小心，不要弄乱 Windows 域名的东西，很多域名信息都存储在 DNS 中，所以禁用它是不可能的）：参见此 Microsoft 文档对于特定的 gpo 设置
您可以将 Internet Explorer 代理设置设为虚假 IP（这不是个好主意，因为它只会影响 Internet Explorer，而用户可以简单地更改它）

所以我真的建议：安装一个带有（透明）AD/NTLM 身份验证的（透明）squid 代理并在那里阻止特定用户。

Question 2

阻止 Internet 访问的一个快捷方法是在浏览器中设置虚假代理，然后阻止访问浏览器配置页面。这两项操作都可以通过 Internet Explorer 的组策略完成。

它不会阻止用户使用其他浏览器或他们引入的 PortableApps 浏览器，但它会降低普通人的速度。

为了真正解决这个问题，您可能需要考虑设置防火墙来阻止所有内容，然后设置代理来允许您实际想要允许的流量。

Answer

阻止 Internet 访问的一个快捷方法是在浏览器中设置虚假代理，然后阻止访问浏览器配置页面。这两项操作都可以通过 Internet Explorer 的组策略完成。

它不会阻止用户使用其他浏览器或他们引入的 PortableApps 浏览器，但它会降低普通人的速度。

为了真正解决这个问题，您可能需要考虑设置防火墙来阻止所有内容，然后设置代理来允许您实际想要允许的流量。

Question 3

我们使用 GPO 将代理设置为不应访问 Internet 的计算机上的虚拟地址。其他策略阻止软件安装或访问可移动媒体，以及访问除他们需要使用的应用程序之外的任何应用程序。虽然这可能无法阻止真正知道自己在做什么的人，但对我们的生产人员非常有效。

Answer

我们使用 GPO 将代理设置为不应访问 Internet 的计算机上的虚拟地址。其他策略阻止软件安装或访问可移动媒体，以及访问除他们需要使用的应用程序之外的任何应用程序。虽然这可能无法阻止真正知道自己在做什么的人，但对我们的生产人员非常有效。

相关内容