如何创build一个组策略来阻止我的用户访问特定的网站? 我在2008r2function级别。
您需要设置出站代理(威胁pipe理网关,Squid等),并使用组策略强制Internet Explorer通过此代理传递所有stream量(如果它不在线)。 如果你使用代理,那么无论IE设置如何,所有的stream量显然都会通过它,使得GPO毫无意义。
您不能通过GPO本地完成此操作,而不执行某些kludgey操作,例如在适当的站点被阻止的情况下在networking共享上创build主机文件,并使用组策略首选项文件更新设置将其推送到计算机。 我真的build议不要这样 花时间build立一个代理,并以正确的方式进行。
使用组策略没有内置的标准方法来实现这一点。
对于计算机策略,一种可能的方法是使用主机文件。 您可以创build一个包含要阻止的名称的自定义主机文件,并使用“组策略首选项”function部署该文件以复制文件。 (计算机configuration>首选项> Windows设置>文件)。
请记住,这种方法可能无法提供所有场景中所需的粒度,并且不能阻止hosts文件中的tld,只能指定特定的名称。 如果主机文件正用于其他预先存在的名称,则可能也不合适。 一个典型的条目可能是:
127.0.0.1 localhost facebook.com www.facebook.com 由于大量的主机名称和不同的fqdn的需要,一些域名难以阻止。
对于文件来源,您可以指定:
\\domain.com\SysVol\domain.com\Policies\{GPO guid}\Machine\Preferences\Files
并确保将修改的主机文件复制到该位置。
文件目标将是:%systemroot%\ system32 \ drivers \ etc \ hosts
“行动”将是“replace”。
请注意,正常的组策略刷新适用于此GPO。 testing表明,文件将以正常间隔重新复制(默认情况下,计算机gpo为90分钟)。