在一般的企業(yè)中,IT管理員如果設(shè)置一部分電腦能上網(wǎng),一部分電腦不能上網(wǎng),一般都是在防火墻或路由器上控制IP地址或mac地址能否上網(wǎng),有的企業(yè)中有上網(wǎng)行為管理設(shè)備(如深信服的AC)的話,也會(huì)在行為管理設(shè)備上控制,不管哪種方式,都要收集用戶電腦的MAC地址或IP地址,如果IP地址經(jīng)常變化的話,對(duì)IT管理員來(lái)說(shuō)限制用戶上網(wǎng)也變得很麻煩。
如果你的企業(yè)中有AD域控的話,也可以用AD的組策略來(lái)限制,這樣對(duì)IT管理員來(lái)說(shuō)非常方便,如果需要變更一臺(tái)用戶電腦的上網(wǎng)權(quán)限,只需把電腦加入或刪除安全組就行了,不需要在防火墻,路由器或上網(wǎng)行為管理上操作。
以下我們展示一下詳細(xì)的組策略設(shè)置步驟:
一. 新建組策略(命令為“禁止用戶上網(wǎng)“)
在AD里建一個(gè)安全組,需要禁止上網(wǎng)的電腦都加到這個(gè)安全組中,然后組策略在安全篩選中刪除默認(rèn)的“Authenticated Users”,然后再添加對(duì)應(yīng)的安全組
在組策略的“委派”窗口,需要再加上“Authenticated Users”的只讀權(quán)限,這樣所有電腦都能讀到這條組策略,如果篩選條件成功,則應(yīng)用,如果篩選條件失敗,則不應(yīng)用這條策略,注意的是,如果不加上“Authenticated Users”的只讀權(quán)限,所有電腦就會(huì)應(yīng)用不到這條策略
二. 編輯組策略:
我們需要用到IP安全策略來(lái)設(shè)置,設(shè)置的內(nèi)容是應(yīng)用到此策略的計(jì)算機(jī)默認(rèn)到所有IP拒絕訪問,然后對(duì)所有內(nèi)網(wǎng)的單個(gè)IP或子網(wǎng)訪問全部允許
新建一個(gè)IP安全策略
進(jìn)入“管理IP篩選器列表和篩選器操作”,新建IP篩選器以及操作
然后對(duì)策略執(zhí)行分配使它生效。
三. 驗(yàn)證策略:
我們現(xiàn)在把計(jì)算機(jī)TEST01加到禁止上網(wǎng)的組中,重啟電腦看一下能不能上網(wǎng)
