acest mod vă va arăta cum să blocați accesul la internet pentru un utilizator, utilizatori sau computer într-un obiect de politică de grup Active Directory. Am testat acest lucru pe Windows 7 și Windows 10 și funcționează excelent!
există o mulțime de tutoriale acolo care detaliază o modalitate de a bloca accesul este prin aplicarea unui proxy inexistent. Această metodă va funcționa pentru unele lucruri, dar problema nu este că tot software-ul folosește în mod necesar aceste setări pentru a se conecta la internet și nu oprește neapărat un utilizator determinat sau un tip rău.
Actualizare 1 Feb 2019 – mulțumesc lui Lou și Peter pentru că au subliniat erorile din postare care ar putea intra în conflict cu funcționarea DHCP. Vă mulțumesc amândurora!
acest tutorial sugerează utilizarea paravanului de protecție Windows gestionat prin Active Directory pentru a bloca toate adresele IP de internet în plus față de aplicarea unui proxy inexistent. Aceste tehnologii vin încorporate cu Windows.
dacă nu le-am făcut pe amândouă, atunci un proxy ar putea exista în rețeaua dvs. în intervalele IP private (care sunt permise) și, prin urmare, ar avea activitate pe internet. Puteți aplica această Politică de grup utilizatorilor individuali sau OUs întregi după cum considerați de cuviință și va funcționa bine pe toate dispozitivele.
aveți grijă, deși cu Windows Firewall ordinea regulilor nu contează cu adevărat, acțiunile de blocare vor avea prioritate față de regulile de autorizare. Prin urmare, de ce blocăm toate intervalele IP non-private, cu alte cuvinte blocăm întreaga adresă IP pe internetul mai larg și nici măcar nu specificăm intervalele private RFC 1918 și RFC 5735.
versiunea scurtă
creați o politică de paravan de protecție Windows și specificați aceste intervale de adrese IP într-o regulă de blocare:
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
și creați și un proxy inexistent pentru o măsură bună și opriți utilizatorii să schimbe această setare.
Windows Firewall GPO
Editați Politica de grup așa cum ați face de obicei și alegeți un OU pertinent pentru a aplica noua Politică:
dați-i un nume sensibil și faceți clic pe ok:
și apoi în ecranul din dreapta editați GPO-ul pe care tocmai l-ați creat:
apoi navigați la politici-Setări Windows – Setări de securitate-paravan de protecție Windows cu securitate avansată – reguli de ieșire:
pe panoul din dreapta, faceți clic dreapta și selectați ” regulă nouă…”:
în caseta care apare selectați o „regulă personalizată” și apoi faceți clic pe Următorul:
lăsați implicit ca „toate programele” și faceți clic pe Următorul:
lăsați valorile implicite ca protocol” orice „și faceți clic pe Următorul:
acest ecran următor este locul în care vom adăuga majoritatea setărilor noastre, sub” adrese IP la distanță „selectați” aceste adrese IP „și faceți clic pe „Adăugați”:
în următorul pop-up vom dori să adăugăm câteva intervale IP, așa că faceți clic pe „acest interval IP” și introduceți acest lucru ca intervalul 0.0.0.1-9.255.255.255, la fel ca acesta:
va trebui să repetați cei doi pași de mai sus pentru a adăuga următoarele intervale IP (lista de mai jos conține cea de mai sus, așa că nu trebuie să o adăugați de două ori!):
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
când ați terminat cu această listă, ar trebui să aveți un ecran care arată ca următoarele, Dacă sunteți fericit Faceți clic pe „Next”:
pe ecranul următor, asigurați-vă că acțiunea este evidențiată ca „blocare” și faceți clic pe „Următorul”:
sub profilul poate doriți să lăsați toate aceste locații bifate și apoi faceți clic pe „Următorul”:
dați regulii un nume sensibil și faceți clic pe „Finalizare”:
Internet Settings GPO
următorul va trebui să setup proxy fals ca pe majoritatea sfătui acolo cu privire la astfel de lucruri. Poate fi necesar să descărcați mai întâi ie admin pack.
navigați la Configurare utilizator – Preferințe – Setări Panou de Control – Setări Internet și faceți clic dreapta pe Creați o nouă setare în panoul din dreapta.
apoi faceți clic pe conexiuni, apoi pe Setări LAN:
în caseta care apare bifați „Utilizați un server proxy pentru LAN” și în caseta de adrese tastați „127.0.0.1” pe portul „3128”, la fel și apoi apăsați Ok și OK din nou pentru a reveni la ecranul principal GPO.
în continuare, în cadrul GPO, treceți la configurarea utilizatorului – șabloane Administrative – Componente Windows-Internet Explorer.
în partea dreaptă doriți să găsiți opțiunea care citește „dezactivați modificarea setărilor conexiunii” , când ați găsit-o deschideți-o făcând dublu clic:
activați această setare și faceți clic pe Ok.
închideți toate ferestrele GPO și ați terminat!