我的任务是 a) 创建一个信息亭机器;b) 对其进行配置,以便用户只能访问某些内部站点,而不能访问外部站点。
假设:
- Windows 10 计算机,域的一部分
- 本地信息亭模式,无需密码,自动登录“信息亭”用户
对于 a) 我使用 Windows Kiosk 分配访问权限选项,它可以创建本地用户 Kiosk 并可以选择在浏览器模式下运行。这是我选择的,并且该部分运行良好。但是...用户可以浏览任何网站。
对于 b),我启动了 squid 代理服务器,并成功将其配置为仅允许用户浏览他们应该浏览的网站。当我以 AD 管理员身份登录计算机时,我可以设置我的代理设置并实现预期结果:我无法浏览任何网站,除非它在 squid 中指定。完美。
最后一个障碍是如何在该机器上强制执行本地 Kiosk 的代理。Windows 将 kiosk 用户设置为无密码、自动登录帐户(这很方便地忽略了该机器上明确强制执行密码长度和复杂性设置的 GPO),因此,如果不先禁用 kiosk 模式、创建新的本地用户,然后设置代理,您实际上无法登录该用户并设置其代理值。这没问题,但由于我们组织的 GPO,您无法创建没有密码的本地用户。
无论如何,我在 GPO 方面能找到的最接近的选项是用户配置 -> 首选项 -> 控制面板设置 -> Internet 设置 -> Internet Explorer 10 -> 连接选项卡 -> LAN 设置 (ffs) -> 代理服务器。我在这里设置了代理服务器的地址和端口。
由于我很确定这只适用于域中的用户,而不适用于本地信息亭用户,因此我还添加了计算机配置->管理模板->Windows 组件->Internet Explorer(我希望这涵盖 Edge,因为这是信息亭应用程序)->“根据每台机器(而不是根据每个用户)进行代理设置。”
我重新启动了信息亭服务器,当以 AD 管理员身份登录时,我可以运行 gpresult /scope computer /v 并看到该策略已应用并存在。但是,当我以信息亭用户身份登录时,我仍然可以随心所欲地浏览,所以这根本不起作用。
关于如何推动设置代理服务器以便始终为所有本地用户设置代理服务器,您有什么想法吗?我需要通过一些 regedit magic 来做到这一点吗?
提前致谢。