通过组策略限制Internet访问

在Windows Server 2003环境中,有没有人知道使用组和组策略限制Internet访问的方法?

这不会工作 🙂

有(afaik)没有registry设置,启用或禁用互联网访问,并且绝对没有gpo设置允许/拒绝互联网使用。 我可以想到几个(糟糕的,易于移除的)障碍,你可以扔给你的用户,但最终你应该在你的防火墙和/或代理服务器上访问互联网。

  • 你可以设置网关IP地址为一个虚假的IP地址(坏主意,因为它减慢了电脑,导致不必要的局域网stream量,用户可以 – 根据他的权利 – chage它回来):使用netsh.exe(见MS Technet的解释 )在login脚本
  • 你可以搞砸DNS服务器,使电脑不会find互联网域名(坏主意,因为你必须小心,不要搞乱Windows域的东西,大量的域名信息存储在DNS,所以禁用是不选项):请参阅此Microsoft文档以了解特定的gpo设置
  • 您可以将Internet Explorer代理设置设置为伪造的IP(坏主意,因为它只影响Internet Explorer,用户可以简单地更改它)

所以我真的会build议:安装一个(透明)squid代理(透明)AD / NTLM身份validation和阻止特定用户。

阻止互联网访问可以做的一件事就是简单地在浏览器中设置一个伪代理,然后阻止访问浏览器configuration页面。 这两件事都可以通过Internet Explorer的组策略来完成。

它不会阻止用户使用备用浏览器或他们带来的PortableApps浏览器,但会降低普通用户的速度。

要真正解决这个问题,虽然你可能需要考虑设置你的防火墙来阻止一切,然后设置一个代理来允许你真正想要的stream量。

我们使用GPO将代理设置为不应访问Internet的计算机上的虚拟地址。 其他策略阻止软件安装或访问可移动媒体,以及访问除需要使用的应用程序以外的任何应用程序。 虽然这可能不会阻止真正了解他/她在做什么的人,但对于我们的制作人员来说是非常有效的。