Sådan viser du dig, hvordan du blokerer internetadgang for en bruger, brugere eller computer inden for et Active Directory-Gruppepolitikobjekt. Jeg har testet dette På Vinduer 7 og Vinduer 10, og det fungerer godt!
der er masser af tutorials derude, der beskriver en måde at blokere adgang på, er ved at håndhæve en ikke-eksisterende fuldmagt. Denne metode fungerer for nogle ting, men problemet er ikke, at alle programmer nødvendigvis bruger disse indstillinger til at oprette forbindelse til internettet og stopper ikke nødvendigvis en bestemt bruger eller dårlig fyr.
opdatering 1 Feb 2019 – Tak til Lou og Peter for at påpege fejlene i posten, som kunne være i konflikt med DHCP-drift. Tak begge!
denne vejledning foreslår at bruge Active Directory til at blokere alle internet IP-adresser i tillæg til at håndhæve en ikke-eksisterende fuldmagt. Disse teknologier er indbygget med vinduer.
hvis vi ikke gjorde begge dele, kunne der eksistere en fuldmagt på dit netværk i de private IP-intervaller (som er tilladt) og derfor har internetaktivitet. Du kan anvende denne gruppepolitik på individuelle brugere eller hele Ou ‘ er, som du finder passende, og fungerer godt på tværs af alle enheder.
vær forsigtig, selvom rækkefølgen af regler ikke rigtig betyder noget, Blokhandlinger prioriteres over Tillad regler. Derfor blokerer vi alle de ikke-private IP-intervaller, med andre ord blokerer vi hele IP-adresser på det bredere internet og specificerer ikke engang de private RFC 1918-og RFC 5735-intervaller.
den korte Version
Opret en politik for vinduer og angiv disse IP-adresseområder i en BLOKREGEL:
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
og opret en ikke-eksisterende fuldmægtig for godt mål og stop brugerne fra at ændre denne indstilling.
GPO
Rediger din Gruppepolitik, som du normalt ville, og vælg en relevant OU for at anvende din nye politik:
giv det et fornuftigt navn, og klik på ok:
og derefter på skærmen til højre rediger den GPO, du lige har oprettet:
næste Naviger til politikker-vinduer Indstillinger-Sikkerhedsindstillinger-vinduer Brandvæg med avanceret sikkerhed-udgående regler:
Højreklik på panelet til højre og vælg “Ny regel…”:
i feltet, der dukker op, skal du vælge en “brugerdefineret regel” og derefter klikke på Næste:
Forlad standard som “alle programmer” og klik på Næste:
lad standardindstillingerne være som” enhver “protokol, og klik på Næste:
denne næste skærm er, hvor vi skal tilføje størstedelen af vores indstillinger under” eksterne IP-adresser “vælg” disse IP-adresser “og klik på “Tilføj”:
på den næste popup vil vi tilføje nogle IP-intervaller, så klik på “dette IP-interval” og indtast dette som området 0.0.0.1-9.255.255.255, ligesom dette:
du bliver nødt til at gentage de to trin ovenfor for at tilføje følgende IP-intervaller (listen nedenfor indeholder den ovenfor forresten, så du ikke behøver at tilføje den to gange!):
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
når du er færdig med den liste, skal du have en skærm, der ligner følgende, Hvis du er glad, klik på “Næste”:
på det næste skærmbillede skal du sørge for, at handlingen er fremhævet som “Bloker”, og klik på “Næste”:
Under profilen kan du lade alle disse placeringer være markeret og derefter klikke på “Næste”:
Giv reglen et fornuftigt navn, og klik på “Udfør”:
Internetindstillinger GPO
dernæst bliver vi nødt til at opsætte den falske fuldmagt som pr. Du skal muligvis hente IE admin pack først selv.
Naviger til Brugerkonfiguration – Indstillinger – Indstillinger for Kontrolpanel – Internetindstillinger, og højreklik på Opret en ny indstilling i højre panel.
Klik derefter på forbindelser og derefter LAN-indstillinger:
i feltet, der dukker op, skal du markere “Brug en fuldmagtsserver til dit LAN” og i adressefeltet skrive “127.0.0.1” på port “3128”, ligesom dette, og tryk derefter på Ok og Ok igen for at komme tilbage til hoved GPO-skærmen.
Næste inden for vores GPO gå igennem til Brugerkonfiguration-Administrative Skabeloner-vinduer komponenter-Internet opdagelsesrejsende.
på højre side vil du finde den mulighed, der lyder “Deaktiver ændring af forbindelsesindstillinger”, når du har fundet det, skal du åbne det ved at dobbeltklikke:
gør denne indstilling aktiveret, og klik på Ok.
Luk alle GPO-vinduerne, så er du færdig!