我们已经使用Windows Server 2008 R2版本。
我需要为域用户禁用下载选项的组策略。
任何人都请让我知道政策设置。
提前致谢。
你正在寻找的东西听起来像一个简单的事情,但事实并非如此。
当你说“所有的浏览器”时,我倾向于认为你在谈论第三方的networking浏览器软件(Google Chrome,Firefox,Opera,wget,curl等)。 您将发现第三方networking浏览器软件不像Internet Explorer那样受组策略控制。
通过“下载”,我认为你说“保存HTTP(S)可访问资源的内容到磁盘文件,同时仍然允许用户查看网页”。 考虑到浏览器在访问网站时允许用户浏览网页,我认为你将会遇到困难。 如果机器能够通过HTTP(S)与其他主机任意通信,并且用户可以执行任意代码,则用户可以“下载”。
您的select是删除用户执行任意代码的能力和/或删除计算机与其他主机任意通信的能力。 软件限制政策是你最好的select,而一个网页过滤设备/应用程序是第二个你最好的select。
你可以通过IE浏览器“安全区域”和其他设置通过组策略玩游戏,但是一个确定的攻击者即使不能执行任意代码,也能够绕过这些游戏。 如果攻击者只能运行一个wget副本,他们将自己的存储介质引入,那么世界上所有的组策略阴谋也不会帮助你。
真正实现你想要的只是在networking层面限制互联网访问。 这可以通过类似于内联代理的方式来实现,或者通过将ACL添加到您的出站端口来阻止来自IP的请求,这些请求不是服务器或代理。
你真的不应该依赖客户端的限制。
你不能。 MOsst浏览器会给你的GPO垃圾。
谷歌浏览器,火狐浏览器都没有为此。 IE可能有,但嘿,你问所有的浏览器。
所以,不 – 没办法。 Sofwtare做它的编程。
Internet Explorer和Chrome可以通过GPO,Internet Explorer通过MS提供的GPO进行控制。
对于IEconfiguration>策略>pipe理模板> Windows组件> Internet Explorer> Internet控制面板>安全页面> Internet区域>允许文件下载将使您能够控制Internet Explorer。
我铬,我还没有find一种方法来专门阻止下载,但您可以将下载目录设置到用户不会写权限的地方 – 这可能会工作。
在域环境中,您还可以创build一个策略来停止从某些区域运行文件。
Firefox确实有一些GPO选项,但是必须设置 – 使用GPO来设置你想要的,当用户login一个应用程序时必须运行它将读取这些设置并将它们写入configuration文件,然后Firefox当它启动时读取。
我认为?? 一个过期或伪造的IDM(互联网下载pipe理器)可能工作,因为如果你有该程序,IDM将捕获下载文件,然后它会提示你需要许可证开始下载。