The Woo Asked: 2009-09-09 15:42:27 +0800 CST2009-09-09 15:42:27 +0800 CST 2009-09-09 15:42:27 +0800 CST 使用组策略限制 Internet 访问 772 在 Windows Server 2003 环境中,有人知道使用组和组策略限制 Internet 访问的方法吗? group-policy 3 个回答 Voted Best Answer brengo 2009-09-09T16:10:24+08:002009-09-09T16:10:24+08:00 那是行不通的:) (afaik)没有启用或禁用互联网访问的注册表设置,并且绝对没有允许/拒绝互联网使用的 gpo 设置。我可以想到一些(蹩脚的,容易移除的)障碍,你可以给你的用户扔,但最终你应该在你的防火墙和/或代理服务器上阻止互联网访问。 您可以将网关 ip 地址设置为伪造的 ip 地址(坏主意,因为它会减慢电脑速度,导致不必要的 LAN 流量,并且用户可以 - 根据他的权限 - 将其改回):使用 netsh.exe(参见MS Technet 的解释)在登录脚本中 你可以弄乱 dns 服务器,这样电脑就找不到互联网域(坏主意,因为你必须非常小心不要弄乱 windows 域的东西,很多域信息都存储在 dns 中,所以禁用是不行的选项):有关特定 gpo 设置,请参阅此 Microsoft 文档 您可以将 Internet Explorer 代理设置设置为虚假 ip(坏主意,因为它只影响 Internet Explorer,用户可以简单地更改它) 所以我真的建议:安装一个带有(透明)AD/NTLM 身份验证的(透明)squid 代理,并在那里阻止特定用户。 Zoredache 2009-09-09T16:10:08+08:002009-09-09T16:10:08+08:00 要阻止 Internet 访问,您可以做的一件快速的事情是在浏览器中简单地设置一个虚假代理,然后阻止对浏览器配置页面的访问。这两件事都可以通过 Internet Explorer 的组策略来完成。 它不会阻止您的用户使用备用浏览器或他们带来的 PortableApps 浏览器,但它会减慢普通人的速度。 要真正解决这个问题,您可能需要考虑将防火墙设置为阻止所有内容,然后设置代理以允许您实际允许的流量。 John Gardeniers 2009-09-09T16:48:25+08:002009-09-09T16:48:25+08:00 我们使用 GPO 将代理设置为不应访问 Internet 的机器上的虚拟地址。其他策略阻止软件安装或访问可移动媒体,以及访问他们需要使用的应用程序以外的任何应用程序。虽然这可能不会阻止真正知道自己在做什么的人,但它对我们的生产人员非常有效。
那是行不通的:)
(afaik)没有启用或禁用互联网访问的注册表设置,并且绝对没有允许/拒绝互联网使用的 gpo 设置。我可以想到一些(蹩脚的,容易移除的)障碍,你可以给你的用户扔,但最终你应该在你的防火墙和/或代理服务器上阻止互联网访问。
所以我真的建议:安装一个带有(透明)AD/NTLM 身份验证的(透明)squid 代理,并在那里阻止特定用户。
要阻止 Internet 访问,您可以做的一件快速的事情是在浏览器中简单地设置一个虚假代理,然后阻止对浏览器配置页面的访问。这两件事都可以通过 Internet Explorer 的组策略来完成。
它不会阻止您的用户使用备用浏览器或他们带来的 PortableApps 浏览器,但它会减慢普通人的速度。
要真正解决这个问题,您可能需要考虑将防火墙设置为阻止所有内容,然后设置代理以允许您实际允许的流量。
我们使用 GPO 将代理设置为不应访问 Internet 的机器上的虚拟地址。其他策略阻止软件安装或访问可移动媒体,以及访问他们需要使用的应用程序以外的任何应用程序。虽然这可能不会阻止真正知道自己在做什么的人,但它对我们的生产人员非常有效。