我们计划从工作组迁移到 Active Directory(Windows Server 2008 R2:域控制器、DNS 和 Windows XP/7:工作站)。目前,某些计算机不允许访问 Internet(我们实现了这一点,但让网络配置窗口中的 DNS 字段为空白)。用户没有管理权限,因此他们无法更改设置。无论用户使用哪种 Internet 浏览器,这都可以正常工作。
我们可以在 Active Directory 环境中执行此操作吗?
答案1
我认为你的做法是错误的。uSlackr 的想法是可行的。你可以在组策略中设置代理服务器,但正如 Nixphoe 所说,这只适用于 IE。Nixphoe 的想法破坏了 Active Directory 的功能,因此应避免使用。使用 Active Directory 执行此操作的每种方法都会有一些缺点。
解决方案(即使这不是您想要的答案)是在防火墙上执行此操作。大多数好的防火墙都能够阻止一组 IP 地址的互联网访问。只需确保这些计算机获得正确的 IP 地址,但将它们放在交换机上自己的特殊 VLAN 中或为它们创建 DHCP 预留即可。
答案2
如果所有这些都在 1 个子网中,那么如果您使用 DHCP,则不要配置网关,或者将其配置为不正确的网关。 PC 将能够访问其子网中的所有内容,而不能访问子网外的任何内容... 很简单。
答案3
在购买 Web 过滤软件之前,我们通过将用户的代理设置设置为不存在的代理来实现此目的。这可以通过组策略设置或基于用户的登录脚本来处理。正如其他人所说,这仅适用于 IE 和使用 Windows Internet 设置的程序。
答案4
您可以使用 ISA 或 TMG 与 AD 集成,使用规则允许访问取决于“互联网访问”AD 组成员身份。在 DNS 中包含 WPAD 配置,这样就不需要为所有最终用户设备和浏览器进行配置。