Назад | Перейти на главную страницу

Ограничение доступа в Интернет с помощью групповой политики

Кто-нибудь знает способ ограничения доступа в Интернет с помощью групп и групповой политики в среде Windows Server 2003?

Это не сработает :)

Нет (afaik) параметра реестра, который включает или отключает доступ в Интернет, и определенно нет параметра gpo, разрешающего / запрещающего использование Интернета. Я мог бы подумать о нескольких (дрянных, легко устранимых) препятствиях, которые вы могли бы бросить своим пользователям, но в конечном итоге вам следует заблокировать доступ в Интернет на вашем брандмауэре и / или прокси-сервере.

  • вы можете установить IP-адрес шлюза на поддельный IP-адрес (плохая идея, потому что это замедляет работу компьютера, вызывает нежелательный LAN-трафик, и пользователь может - в зависимости от его прав - вернуть его обратно): используйте netsh.exe (см. MS Technet за объяснение) в сценарии входа в систему
  • вы можете испортить DNS-сервер, так что компьютер не найдет интернет-домены (плохая идея, потому что вы должны быть очень осторожны, чтобы не испортить вещи домена Windows, в DNS хранится много информации о домене, поэтому отключение не вариант): см. эта документация Microsoft для конкретных настроек gpo
  • вы можете установить настройку прокси-сервера Internet Explorer на фиктивный IP-адрес (плохая идея, потому что это влияет только на Internet Explorer, и пользователи могут просто изменить его)

Поэтому я действительно предлагаю: установить (прозрачный) прокси-сервер Squid с (прозрачной) аутентификацией AD / NTLM и заблокировать там определенных пользователей.

Вы можете быстро заблокировать доступ к Интернету, просто установив в браузере фиктивный прокси-сервер, а затем заблокировав доступ к страницам конфигурации браузера. Обе эти вещи можно сделать с помощью групповой политики для Internet Explorer.

Он не будет препятствовать пользователям использовать альтернативные браузеры или браузер PortableApps, который они принесли, но замедлит работу обычного человека.

Чтобы действительно решить эту проблему, вам, вероятно, нужно подумать о настройке вашего брандмауэра, чтобы блокировать все, а затем настроить прокси, чтобы разрешить трафик, который вы действительно хотите разрешить.

Мы используем GPO, чтобы установить прокси-сервер на фиктивный адрес на машинах, которые не должны иметь доступ к Интернету. Другие политики предотвращают установку программного обеспечения или доступ к съемным носителям, а также доступ к любому приложению, кроме того, которое им нужно использовать. Хотя это может не остановить того, кто действительно знает, что он делает, это очень эффективно против нашего производственного персонала.