Dette slik viser du hvordan du blokkerer internett-tilgang for en bruker, brukere eller datamaskin i Et Active Directory – Gruppepolicyobjekt. Jeg har testet Dette På Windows 7 Og Windows 10, og det fungerer bra!
det er nok av tutorials der ute detaljering en måte å blokkere tilgang er via håndheve en ikke-eksisterende proxy. Denne metoden vil fungere for noen ting, men problemet er ikke all programvare bruker nødvendigvis disse innstillingene for å koble til internett og stopper ikke nødvendigvis en bestemt bruker eller dårlig fyr.
Oppdater 1 Feb 2019-Takk Til Lou Og Peter for å påpeke feilene i innlegget som kan være i konflikt MED DHCP-operasjonen. Takk begge to!
denne veiledningen foreslår at Du bruker Windows-Brannmur administrert Via Active Directory for å blokkere ALLE INTERNETT-IP-adresser i tillegg til å håndheve en ikke-eksisterende proxy. Disse teknologiene kommer innebygd Med Windows.
hvis vi ikke gjorde begge deler, kunne en proxy eksistere på nettverket ditt i de private IP-områdene (som er tillatt) og derfor ha internett-aktivitet. Du kan bruke denne gruppepolicyen til individuelle brukere eller hele Ouer som du ønsker, og vil fungere godt på tvers av alle enheter.
Vær forsiktig, men med Windows-Brannmur spiller reglene ingen rolle, Blokkhandlinger vil prioriteres over Tillatelsesregler. Derfor blokkerer vi alle ikke-private IP-områder, med andre ord blokkerer vi hele IP-adressene på det bredere internett og spesifiserer ikke engang DE private RFC 1918 og RFC 5735-områdene.
Den Korte Versjonen
Opprette En windows-brannmurpolicy og angi DISSE IP-adresseområdene i EN blokkregel:
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
og opprette en ikke-eksisterende proxy også for godt mål og stoppe brukere fra å endre denne innstillingen.
WINDOWS-Brannmur GPO
Rediger Gruppepolicyen som du vanligvis ville, og velg en relevant OU for å bruke den nye policyen:
Gi det et fornuftig navn og klikk ok:
og så i skjermen til høyre redigere GPO du nettopp har opprettet:
neste naviger Til Policyer-Windows-Innstillinger-Sikkerhetsinnstillinger-Windows-Brannmur Med Avansert Sikkerhet-Utgående Regler:
på panelet til høyre, høyreklikk og velg » Ny Regel…»:
i boksen som dukker opp, velg en «Tilpasset Regel» og klikk Deretter Neste:
La standard som «Alle Programmer» og klikk På Neste:
La standardinnstillingene stå som» Hvilken som helst «- protokoll og klikk På Neste:
Denne neste skjermen er hvor vi skal legge til de fleste av våre innstillinger, under» eksterne IP-adresser «velg» Disse IP-adressene «og klikk»Legg til»:
på neste popup vil vi legge TIL NOEN IP-områder, så klikk på «Dette IP-Området» og skriv inn dette som området 0.0.0.1-9.255.255.255, akkurat som dette:
du må gjenta de to trinnene ovenfor for å legge TIL FØLGENDE IP-områder, (listen nedenfor inneholder den ovenfor forresten, så du trenger ikke legge den til to ganger!):
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
når du er ferdig med den listen, bør du ha en skjerm som ser ut som følgende, hvis du er glad, klikk «Neste»:
på neste skjerm kontroller at handlingen er uthevet som «Block» og klikk «Next»:
Under profilen kan det være lurt å la alle disse stedene krysset og klikk deretter «Neste»:
Gi regelen et fornuftig navn og klikk på «Fullfør»:
INTERNETT-Innstillinger gpo
Neste må vi sette opp falske proxy som per fleste råd der ute om slike ting. Du må kanskje laste NED IE admin pack først skjønt.
Naviger gjennom Til Brukerkonfigurasjon-Innstillinger-Kontrollpanel – Innstillinger-Internett-Innstillinger, og høyreklikk på opprett En Ny innstilling i høyre panel.
klikk Deretter Tilkoblinger DERETTER LAN-Innstillinger:
i boksen som dukker opp, merk av for «Bruk en proxy-server FOR LAN» og i adresseboksen skriv inn «127.0.0.1» på port «3128», akkurat slik, og trykk Deretter Ok og Ok igjen for å komme tilbake til HOVEDGPO-skjermen.
Neste i VÅR GPO gå gjennom Til Brukerkonfigurasjon-Administrative Maler-Windows-Komponenter-Internet Explorer.
på høyre side vil du finne alternativet som leser «Deaktiver endring av tilkoblingsinnstillinger», når du har funnet det, åpne det ved å dobbeltklikke:
Gjør denne innstillingen aktivert og klikk Ok.
Lukk ALLE GPO-vinduene, og du er ferdig!