så här visar du hur du blockerar Internetåtkomst för en användare, användare eller dator inom ett Active Directory-grupprincipobjekt. Jag har testat detta på Windows 7 och Windows 10 och det fungerar bra!
det finns gott om handledning där ute som beskriver ett sätt att blockera åtkomst är genom att tillämpa en obefintlig proxy. Denna metod kommer att fungera för vissa saker, men problemet är inte all programvara nödvändigtvis använder dessa inställningar för att ansluta till internet och inte nödvändigtvis stoppa en bestämd användare eller bad guy.
uppdatering 1 Feb 2019 – Tack till Lou och Peter för att påpeka felen i inlägget som kan komma i konflikt med DHCP-operationen. Tack båda två!
denna handledning föreslår att du använder Windows-brandväggen som hanteras via Active Directory För att blockera alla internet-IP-adresser i tillägg till att upprätthålla en obefintlig proxy. Dessa tekniker är inbyggda med Windows.
om vi inte gjorde båda kan en proxy existera i ditt nätverk i de privata IP-områdena (som är tillåtna) och därför ha internetaktivitet. Du kan tillämpa denna grupprincip på enskilda användare eller hela ou: er som du tycker passar och fungerar bra på alla enheter.
var försiktig men med Windows-brandväggen spelar Reglerna ingen roll, Blockåtgärder kommer att prioriteras över tillåta regler. Därför blockerar vi alla icke-privata IP-områden, med andra ord blockerar vi helheten av IP-adresser på det bredare internet och inte ens specificerar de privata RFC 1918-och RFC 5735-områdena.
den korta versionen
skapa en Windows-Brandväggspolicy och ange dessa IP-adressintervall i en BLOCKREGEL:
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
och skapa en obefintlig proxy för bra mått och stoppa användare från att ändra denna inställning.
Windows Firewall GPO
redigera din grupppolicy som du brukar, och välj en relevant OU för att tillämpa din nya policy:
ge det ett förnuftigt namn och klicka på ok:
och sedan på skärmen till höger redigera GPO du just har skapat:
nästa navigera till policyer-Windows-Inställningar – Säkerhetsinställningar – Windows-brandväggen med avancerad säkerhet-Utgående regler:
högerklicka på panelen till höger och välj ”Ny regel…”:
i rutan som dyker upp väljer du en ”anpassad regel” och klickar sedan på Nästa:
lämna standard som ”alla program” och klicka på Nästa:
lämna standardinställningarna som” valfritt ”protokoll och klicka på Nästa:
den här nästa skärmen är där vi ska lägga till de flesta av våra inställningar, under” fjärr IP-adresser ”välj” dessa IP-adresser ”och klicka på ”Lägg till”:
på nästa popup vill vi lägga till några IP-intervall, så klicka på ”detta IP-intervall” och ange detta som intervallet 0.0.0.1-9.255.255.255, precis så här:
du måste upprepa de två stegen ovan för att lägga till följande IP-intervall, (listan nedan innehåller den ovan förresten så att du inte behöver lägga till den två gånger!):
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
när du är klar med den listan bör du ha en skärm som ser ut som följande, om du är glad klicka på ”Nästa”:
på nästa skärm se till att åtgärden är markerad som ”Block” och klicka på ”Nästa”:
Under profilen kanske du vill lämna alla dessa platser kryssade och klicka sedan på ”Nästa”:
ge regeln ett förnuftigt namn och klicka på ”Slutför”:
Internetinställningar GPO
nästa måste vi installera den falska proxyen enligt majoriteten av råd där ute om sådana saker. Du kan dock behöva ladda ner IE admin pack först.
navigera till Användarkonfiguration – Inställningar – Kontrollpanelinställningar – Internetinställningar och högerklicka på Skapa en ny inställning i den högra panelen.
Klicka sedan på anslutningar sedan LAN-inställningar:
i rutan som dyker upp markerar du ”använd en proxyserver för ditt LAN” och i adressrutan skriver du in ”127.0.0.1” på port ”3128”, precis så här och tryck sedan på Ok och Ok igen för att komma tillbaka till huvudskärmen för GPO.
Nästa inom vår GPO gå vidare till Användarkonfiguration-Administrativa mallar – Windows-komponenter-Internet Explorer.
på höger sida vill du hitta alternativet som läser ”inaktivera ändring av anslutningsinställningar”, när du har hittat det öppnar du det genom att dubbelklicka:
gör den här inställningen aktiverad och klicka på Ok.
Stäng ner alla GPO-fönster och du är klar!