我需要阻止Windows Server 2008 R2上的某些用户访问互联网。 如果你谷歌这个问题,你会发现很多结果,build议禁用Internet Explorer和设置为0.0.0.0的代理。 不幸的是,这可以很容易地绕过使用便携式Firefox的例子。
是否有更严格的解决scheme? 我需要find一种方式,即使远程login,FTP等无法正常工作。
谢谢你的帮助!
澄清更新:我想阻止只有一些用户,而不是所有在这台服务器的互联网访问。
最好的解决scheme可能是使用代理在networking级别执行此操作。 您可以使用WCCP或类似方法强制所有通过代理的Internet绑定stream量,而不在主机上configuration任何内容。 否则,我认为你可能能够configurationWindows防火墙禁止通过GPO出站stream量,这将捕获所有出站stream量。 此外,由于它是一个服务器,它可能有一个静态的IP,你可以阻止你的外围防火墙的出站stream量 – 假设你试图阻止来自服务器本身的互联网访问 – 我不清楚,如果你的意思是所有用户(使用服务器和GPO来完成),或者您只是想阻止从您的服务器访问。
为什么不把DHCP中的网关设置为非路由地址或空白地址,以至于stream量不能stream出呢? 设置为那些用户的MAC地址,以便他们总是得到(不正确)的网关地址。
否则,代理它,logging下来,然后解雇他们,如果这是一个商业纪律问题。
您可以使用代理,或者您可以在路由器上设置ACL(访问控制列表),以阻止有问题工作站的出站stream量。
我讨厌给出一个昂贵的商业build议,但是梭子鱼网页filter310可以完成你所要求的一切,并且可以与你的AD拓扑绑定。 它具有内容和协议意识,所以你可以限制用户或组的基础下载,远程login,FTP等。
唯一现实的select可能是禁用直接互联网访问,从而通过代理强制所有的互联网stream量。 然后将此代理configuration为需要身份validation(理想情况下是针对Active Directory [AD])。 这样,每个人都必须authentication才能上网。
缺点:
我从来没有实现过,但我相信它应该工作。 至lessSquid可以让你对AD进行身份validation ; 我假设其他代理可以做同样的事情。