组策略禁止客户端计算机访问指定的网址

Technorati 标签: 夏明亮, GPO, 组策略, 禁止, 网址, 访问

计算机名 角色 IP

NEWDC01 Web Server 192.168.111.1

OLDDC01 DC 192.168.111.100

Client01 Client DHCP Asign

clip_image001

测试前验证Client01能访问Web Server(NEWDC01)。

在域客户端计算机Client01上打开IE输入WebServer的网址,如下图所示:

clip_image003

测试目的:禁止用户在客户端Client01上访问Web Server。

方案一:使用GPO的“IP安全策略,在Active Directory”

操作步骤:

1、 在OLDDC01上打开组策略管理器,创建一条GPO(我这边是),然后编辑

clip_image004

clip_image006

clip_image007

2、 在弹出的配置界面中找到“计算机配置-Windows配置-安全设置-IP安全策略,在Active Directory”,单击鼠标右键“创建IP安全策略”

clip_image009

创建IP安全策略过程:

clip_image010

输入“IP安全策略名称”

clip_image012

下一步

clip_image014

默认,下一步。

clip_image016

完成。

clip_image018

添加。

clip_image020

下一步。

clip_image022

下一步

clip_image024

下一步。

clip_image026

添加

clip_image028

填入名称后,单击“添加”。

clip_image030

下一步。

clip_image032

下一步

clip_image034

源地址,选择“我的IP地址”

clip_image036

目标通讯地址可以根据自己的需求选择(需要禁止访问的目标地址)

clip_image038

我这里选择“目标地址”为“一个特定的IP地址”,然后填入“WebServer”的IP。

clip_image040

选择协议类型,我这里选择“TCP”。

clip_image042

clip_image044

这里由于我们的网页是https访问的,所以端口号写443,下图有误,请根据自己的需求自行修改即可。

clip_image046

完成

clip_image048

确定

clip_image050

选择,刚才创建的IP筛选器,下一步

clip_image052

添加

clip_image054

填入“名称”,下一步。

clip_image056

选择“阻止”,下一步。

clip_image058

完成

clip_image060

选择刚才创建好的筛选器。

clip_image062

完成。

clip_image064

确定。

clip_image066

确定

clip_image068

clip_image070

设置好了以后,需要将该IP限制策略指派出去。

clip_image072

clip_image074

3、 将该策略应用到client01所在的OU上,然后再client01计算机上运行gpupdate /force命令,最好再重启下client01.

clip_image076

clip_image077

4、 在client中打开IE,并输入webserver网址,结果如下:

clip_image079

方法二:GPO 设置IE受限制站点(经测试并不能禁止所有网页)

具体设置是:在DC中打开“组策略管理器”—>创建一条GPO并连接到需要禁止HTTP访问的计算机所在OU—>编辑该组策略—>导航到“计算机设置”,“管理模板”,“Windows组件”,“Internet Explorer”,“Internet控制面板”,“安全页”,“站点到区域分配表”。

clip_image081

clip_image083

clip_image085

下图中的”4”代表“受限制区域”。

clip_image087

保存后,在客户端刷新策略即可。