我们计划从工作组迁移到Active Directory(Windows Server 2008 R2:域控制器,DNS和Windows XP / 7:工作站)。 在这个时候,有些电脑不允许访问互联网(我们实现这一点,但是让networkingconfiguration窗口中的DNS字段为空)。 用户没有pipe理权限,因此无法更改设置。 无论用户使用什么互联网浏览器,这都可以运行。
我们可以在Active Directory环境中执行此操作吗?
我想你会以这种错误的方式去做。 uSlackr的想法会起作用。 你可以在组策略中设置一个代理服务器,但正如Nixphoe所说,这只适用于IE。 Nixphoe的想法打破了活动目录的function,所以应该避免。 使用Active Directory进行此操作的每种方法都有一些缺陷。
解决scheme(即使这不是您想要的答案)是在防火墙上执行此操作。 大多数好的防火墙都能够阻止一组IP地址的上网。 只要确保这些计算机获得正确的IP地址,但将它们放在交换机上自己的特殊VLAN中,或为它们创buildDHCP保留。
如果这全部在1个子网中,则只要不使用DHCPconfiguration网关或将其configuration为不正确。 个人电脑将能够击中他们的子网上的一切,没有任何东西在外面…简单。
在我们购买网页filter软件之前,我们通过将用户的代理设置设置为不存在的代理来完成。 这可以通过组策略设置或基于用户的login脚本来处理。 正如其他人所说,这只适用于IE和使用Windows Internet设置的程序。
这只能用于7和2008,不幸的是, 通过GPO的防火墙规则 ? 为什么不阻止已知端口(80,443)上的出站stream量到不在AD的本地子网中的任何stream量(如果需要的话),并通过组策略来实现。 刚刚发生在我身上。 不知道这是否是实际的,因为
您可以使用ISA或TMG与AD集成,使用规则允许访问取决于“Internet访问”AD组成员资格。 在DNS中包含WPADconfiguration,以便所有最终用户设备和浏览器都不需要configuration。
是否有人反对使用像Barracuda Web Filter这样的网页过滤设备? 这是AD的意识,可能会是一个更强大的解决scheme。
不,您不能在活动目录环境中使用相同的方法。 AD依赖DNS来正常工作。
有几个选项可以替代我的头顶:
无论如何,这两种方法都是更好的方法,因为您的使用现在就可以将DNS服务器设置在其configuration中,而您的“保护”是无用的。
因此,您可以在内部设置AD DNS服务器,不将请求转发到根DNS服务器,这会给您带来很多相同的效果; 您必须将AD DNS服务器放在客户端的DNSconfiguration中,但DNSparsing将无法继续。 然而,这是阻止互联网访问的一个非常薄弱的方式,因为您的用户将能够记住DNS服务器地址(例如Google's,8.8.8.8),然后使用nslookup手动parsingDNS查询。
如果你想继续, 这里是如何启用转发器 (当然,closures它们), 这里是如何pipe理根提示 (完全删除)。
或者,您可以将网关字段留空… AD需要DNS,但在大多数情况下,您的计算机将无法通过网关,假设他们完全不需要访问互联网。
您可以使用启动脚本删除默认路由。
C:\> ROUTE DELETE 0.0.0.0
这将阻止计算机与本地子网外的任何主机进行通信,但仍允许本地networking内的所有通信。 您可以在Active Directory中使用组织单位,以便组策略仅适用于您指定的计算机。