<返回更多

使用AD组策略控制电脑上网权限

2023-02-18  今日头条  IT运维工程师Tommy
加入收藏

在一般的企业中,IT管理员如果设置一部分电脑能上网,一部分电脑不能上网,一般都是在防火墙或路由器上控制IP地址或mac地址能否上网,有的企业中有上网行为管理设备(如深信服的AC)的话,也会在行为管理设备上控制,不管哪种方式,都要收集用户电脑的MAC地址或IP地址,如果IP地址经常变化的话,对IT管理员来说限制用户上网也变得很麻烦。

如果你的企业中有AD域控的话,也可以用AD的组策略来限制,这样对IT管理员来说非常方便,如果需要变更一台用户电脑的上网权限,只需把电脑加入或删除安全组就行了,不需要在防火墙,路由器或上网行为管理上操作。

以下我们展示一下详细的组策略设置步骤:

一. 新建组策略(命令为“禁止用户上网“)

在AD里建一个安全组,需要禁止上网的电脑都加到这个安全组中,然后组策略在安全筛选中删除默认的“Authenticated Users”,然后再添加对应的安全组

在组策略的“委派”窗口,需要再加上“Authenticated Users”的只读权限,这样所有电脑都能读到这条组策略,如果筛选条件成功,则应用,如果筛选条件失败,则不应用这条策略,注意的是,如果不加上“Authenticated Users”的只读权限,所有电脑就会应用不到这条策略

二. 编辑组策略:

我们需要用到IP安全策略来设置,设置的内容是应用到此策略的计算机默认到所有IP拒绝访问,然后对所有内网的单个IP或子网访问全部允许

新建一个IP安全策略

进入“管理IP筛选器列表和筛选器操作”,新建IP筛选器以及操作

然后对策略执行分配使它生效。

三. 验证策略:

我们现在把计算机TEST01加到禁止上网的组中,重启电脑看一下能不能上网

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>