在 Windows Server 2003 环境中,有人知道如何使用组和组策略限制互联网访问吗?
答案1
这行不通:)
(据我所知) 没有注册表设置可以启用或禁用互联网访问,也绝对没有 gpo 设置来允许/拒绝互联网使用。我可以想到一些你可以向用户设置的(糟糕但容易移除的)障碍,但最终你应该在防火墙和/或代理服务器上阻止互联网访问。
- 你可以将网关 IP 地址设置为一个虚假的 IP 地址(这不是一个好主意,因为它会降低 PC 的速度,导致不必要的 LAN 流量,并且用户可以 - 根据他的权利 - 将其改回):使用 netsh.exe(参见MS Technet 的解释)在登录脚本中
- 你可能会弄乱 DNS 服务器,这样 PC 就找不到互联网域名(坏主意,因为你必须非常小心,不要弄乱 Windows 域名的东西,很多域名信息都存储在 DNS 中,所以禁用它是不可能的):参见此 Microsoft 文档对于特定的 gpo 设置
- 您可以将 Internet Explorer 代理设置设为虚假 IP(这不是个好主意,因为它只会影响 Internet Explorer,而用户可以简单地更改它)
所以我真的建议:安装一个带有(透明)AD/NTLM 身份验证的(透明)squid 代理并在那里阻止特定用户。
答案2
阻止 Internet 访问的一个快捷方法是在浏览器中设置虚假代理,然后阻止访问浏览器配置页面。这两项操作都可以通过 Internet Explorer 的组策略完成。
它不会阻止用户使用其他浏览器或他们引入的 PortableApps 浏览器,但它会降低普通人的速度。
为了真正解决这个问题,您可能需要考虑设置防火墙来阻止所有内容,然后设置代理来允许您实际想要允许的流量。
答案3
我们使用 GPO 将代理设置为不应访问 Internet 的计算机上的虚拟地址。其他策略阻止软件安装或访问可移动媒体,以及访问除他们需要使用的应用程序之外的任何应用程序。虽然这可能无法阻止真正知道自己在做什么的人,但对我们的生产人员非常有效。