Как мне создать групповую политику, которая запретит моим пользователям доступ к определенным веб-сайтам? Я на функциональном уровне 2008r2.
Вам необходимо настроить исходящий прокси (шлюз управления угрозами, Squid и т. Д.) И использовать групповую политику, чтобы заставить Internet Explorer пропускать весь трафик через этот прокси, если он не является встроенным. Если вы сделаете прокси-сервер встроенным, то весь трафик, очевидно, будет проходить через него независимо от настроек IE, что делает GPO бессмысленным.
Вы не можете выполнить это изначально, хотя GPO, не делая чего-то беспорядочного, например, создавая файл hosts в сетевом ресурсе с заблокированными соответствующими сайтами и используя параметр обновления файла настроек групповой политики, чтобы отправить его на компьютеры. Я действительно не советую этого делать. Найдите время, чтобы настроить прокси и сделайте это правильно.
Не существует стандартного способа добиться этого с помощью групповой политики.
Для компьютерной политики одним из возможных методов является использование файла hosts. Вы можете создать собственный файл хостов, содержащий имена, которые вы хотите заблокировать, и развернуть его с помощью функции предпочтений групповой политики для копирования файлов. (Конфигурация компьютера> Настройки> Настройки Windows> Файлы).
Имейте в виду, что этот подход может не обеспечивать требуемую степень детализации во всех сценариях, и вы не можете заблокировать tld в файле hosts, только определенные имена. Это также может не подходить, если файл hosts используется для других ранее существовавших имен. Типичная запись может быть:
127.0.0.1 localhost facebook.com www.facebook.com
Некоторые домены сложно заблокировать из-за большого количества имен хостов и различных требуемых fqdn.
В качестве источника файла вы можете указать:
\\domain.com\SysVol\domain.com\Policies\{GPO guid}\Machine\Preferences\Files
И обязательно скопируйте измененный файл hosts в это место.
Место назначения файла:% systemroot% \ system32 \ drivers \ etc \ hosts
«Действие» будет «Заменить».
Обратите внимание, что к этому объекту групповой политики применяется обычное обновление групповой политики. Тестирование подтвердило, что файл будет повторно скопирован с обычным интервалом (по умолчанию 90 минут для gpo компьютера).