如何创建组策略来阻止我的用户访问特定网站?我处于 2008r2 功能级别。
答案1
您需要设置出站代理(威胁管理网关、Squid 等),并使用组策略强制 Internet Explorer 通过此代理传递所有流量(如果它不是内联的)。如果您将代理设置为内联的,那么无论 IE 设置如何,所有流量显然都会通过它,这使得 GPO 变得毫无意义。
您无法通过 GPO 原生实现此目的,除非您采取一些笨拙的措施,例如在网络共享上创建 hosts 文件并屏蔽相应站点,然后使用组策略首选项文件更新设置将其推送到计算机。我强烈建议您不要这样做。花点时间设置代理并以正确的方式进行设置。
答案2
没有内置的标准方法可以使用组策略来实现这一点。
答案3
对于计算机策略,一种可能的方法是使用 hosts 文件。您可以创建一个包含要阻止的名称的自定义 hosts 文件,然后使用组策略首选项功能部署该文件以复制文件。(计算机配置 > 首选项 > Windows 设置 > 文件)。
请记住,这种方法可能无法在所有情况下提供所需的粒度,并且您无法在 hosts 文件中阻止 tld,只能阻止特定名称。如果 hosts 文件用于其他预先存在的名称,则这种方法也可能不合适。典型的条目可能是:
127.0.0.1 localhost facebook.com www.facebook.com
由于需要大量主机名和不同的 fqdn,某些域名很难被阻止。
对于文件源,您可以指定:
\\domain.com\SysVol\domain.com\Policies\{GPO guid}\Machine\Preferences\Files
并确保将修改后的 hosts 文件复制到该位置。
文件目标为:%systemroot%\system32\drivers\etc\hosts
“操作”将是“替换”。
请注意,常规组策略刷新适用于此 GPO。测试已确认文件将按正常间隔重新复制(默认情况下,对于计算机 GPO 为 90 分钟)。