我们使用的是Windows Server 2008 R2版本。
我需要用于禁用域用户的下载选项的组策略。
请任何人告诉我政策设置。
提前致谢。
答案1
您寻找的东西听起来很简单,但事实并非如此。
当您说“所有浏览器”时,我倾向于认为您指的是第三方 Web 浏览器软件(Google Chrome、Firefox、Opera、wget、curl 等)。您会发现第三方 Web 浏览器软件比 Internet Explorer 更难受组策略控制。
我认为您所说的“下载”是指“将 HTTP(S) 可访问资源的内容保存到磁盘文件,同时仍允许用户查看网页”。考虑到这正是浏览器在访问网站以允许用户查看网页时所做的,我认为您将会遇到困难。如果机器能够通过 HTTP(S) 与其他主机任意通信,并且用户可以执行任意代码,那么用户就可以“下载”。
您的选择是删除用户执行任意代码的能力和/或删除计算机与其他主机任意通信的能力。对于前者,软件限制策略是您的最佳选择,而对于后者,网络过滤设备/应用程序是您的最佳选择。
您可以通过组策略玩弄 IE“安全区域”和其他设置,但坚定的攻击者即使无法执行任意代码也能绕过此类游戏。如果攻击者只需运行他们从自己的存储介质中带来的 wget 副本,那么世界上所有的组策略阴谋都无法帮助您。
答案2
真正实现目标的唯一方法是在网络层面限制互联网访问。这可以通过诸如内联代理之类的东西来实现,或者通过向出站端口添加 ACL 来阻止来自非服务器或代理的 IP 的请求。
您确实不应该依赖客户端的限制。
答案3
你不能。大多数浏览器都会对你的 GPO 不屑一顾。
Chrome、Firefox 都没有这个设置。IE 可能有,但是嘿,你问的是所有浏览器。
所以,不可能。软件只是按照程序运行。
答案4
用户配置 > 策略 > 管理模板 > Windows 组件 > Internet Explorer > Internet 控制面板 > 安全页面 > Internet 区域 > “允许文件下载”