在一般的企業中,IT管理員如果設置一部分電腦能上網,一部分電腦不能上網,一般都是在防火墻或路由器上控制IP地址或mac地址能否上網,有的企業中有上網行為管理設備(如深信服的AC)的話,也會在行為管理設備上控制,不管哪種方式,都要收集用戶電腦的MAC地址或IP地址,如果IP地址經常變化的話,對IT管理員來說限制用戶上網也變得很麻煩。
如果你的企業中有AD域控的話,也可以用AD的組策略來限制,這樣對IT管理員來說非常方便,如果需要變更一臺用戶電腦的上網權限,只需把電腦加入或刪除安全組就行了,不需要在防火墻,路由器或上網行為管理上操作。
以下我們展示一下詳細的組策略設置步驟:
一. 新建組策略(命令為“禁止用戶上網“)
在AD里建一個安全組,需要禁止上網的電腦都加到這個安全組中,然后組策略在安全篩選中刪除默認的“Authenticated Users”,然后再添加對應的安全組
在組策略的“委派”窗口,需要再加上“Authenticated Users”的只讀權限,這樣所有電腦都能讀到這條組策略,如果篩選條件成功,則應用,如果篩選條件失敗,則不應用這條策略,注意的是,如果不加上“Authenticated Users”的只讀權限,所有電腦就會應用不到這條策略
二. 編輯組策略:
我們需要用到IP安全策略來設置,設置的內容是應用到此策略的計算機默認到所有IP拒絕訪問,然后對所有內網的單個IP或子網訪問全部允許
新建一個IP安全策略
進入“管理IP篩選器列表和篩選器操作”,新建IP篩選器以及操作
然后對策略執行分配使它生效。
三. 驗證策略:
我們現在把計算機TEST01加到禁止上網的組中,重啟電腦看一下能不能上網
