在一些企事业单位局域网中,有时候出于网络安全、规范员工上网行为,防止员工利用互联网做私事、上网娱乐等行为的考虑,而禁止局域网电脑访问外网,也就是禁止访问因特网,但是又不能完全从物理层面上切断网络连接,毕竟局域网内部也经常需要传输文件、文件共享以及其他内部连接行为,因此这就需要控制局域网电脑的网络使用。
那么,如何实现禁止局域网上网、禁止电脑上网但又不能影响局域网内部上网呢?笔者以为,可以通过以下两种方式来实现:
方法一、可以通过组策略禁止电脑上网、限制局域网电脑访问外网。
1、打开“AD用户和计算机”,在wanxing域上新建一个OU,命名为:Client(组织单元里有用户thin-01)
2、右击Client,打开Client属性,点击“组策略”,展开“组策略”属性,点击“新建”按钮,新建一组策略对象,重命名为“禁止上网”。
(1)选择“禁止上网”这一策略对象,点击“编辑”按钮,打开“组策略编辑器”,然后在左侧的控制台树中依次展开:用户配置→Windows设置→Internet Explorer维护→连接。
(2) 在右侧的详细窗格里双击“代理设置”策略项,然后在弹出对话框上勾选“启用代理服务器设置”复选框,然后将代理服务器设置为“127.0.0.1”,如下图所示,应用了这条组策略,IE浏览器就无法访问Internet。
(3)在“运行”输入:cmd,打开命令提示符,然后输入:gpupdate /force (手动更新组策略,使策略立即生效)(4)输入:gpresult (查看组策略应用结果)3、回到域客户端XPDC,打开IE浏览器,验证策略应用结果如下图所示:
应用组策略之前,正常打开网页。
应用组策略之后,无法正常浏览网页,策略生效。
方法二、通过控制上网软件、网络管理软件来禁止局域网上网、禁止电脑上网。
虽然通过组策略限制电脑上网是可以实现完全禁止电脑上网的功能,但是由于这种技术是基于操作系统相关设置来实现的,因此也很容易被一些懂技术的员工绕过,通过反向设置而达到重新恢复上网的目的。因此,这种通过组策略禁止局域网上网、控制电脑上网的方式存在一定的漏洞,不利于实现严密的网络管理。这种情况下,可以通过专门的网络管理软件、局域网限制上网软件来实现。
目前,市面上的局域网控制软件很多,例如有一款“聚生网管”(百度搜索“聚生网管”即可下载),只需要在公司局域网一台电脑安装就可以管理公司所有电脑的上网行为,你可以制定一个禁止电脑上网的策略,然后你将策略指派给那个电脑,就可以阻止那个电脑上网。同时,在禁止电脑上网的同时也不会影响局域网电脑之间的内网通讯,从而可以实现内外网的分别管理。如下图所示:
图:设置禁止电脑上网
同时,在禁止电脑上网的同时还可以给电脑发送消息,实现了人性化的提醒,可以更好地引导和约束员工的上网行为。
此外,通过网管软件来禁止电脑上网更为严密,由于不在被控制的电脑上进行设置,因此无论被控制电脑如何设置都无法有效逃避监控,实现了更为有效的管理。同时,通过“聚生网管”你可以随时禁止或许可局域网任意电脑访问外网的行为。
同时,很多企事业单位实际上并不是完全禁止电脑上网,而只是让电脑访问一些特定的网站,例如企业邮箱网站、公司外网服务器等,这种情况下就不能完全禁止电脑上外网了。这就可以通过“聚生网管”的“白名单”来实现,如下图所示:
......>>
问题二:网络联网错误诊断显示策略服务已被禁用什么意思 关闭,从连一次
问题三:谁说说组策略禁用无线网卡怎么办 桌面上右击“我的电脑”选择“管理”再选择“服务和应用程序”然后选择“服务”在右边窗口中找找到“wireless Zero Configuration”服务启用后OK
.
问题四:网络策略服务已被禁用是怎么会是? 右击计算机-管理-服务和应用程序 看看你有哪些没启动。。。
问题五:电脑诊断策略服务被禁用应怎样解决? 在服务中找到对应服务,查看是否禁用,如果禁用更改为自动启动,然后启动试试~
问题六:如何禁用、启用本地连接(网卡) 前言:因为需要在批处理下禁用网卡和启用本地连接,所以专门找了不少这样的贴子,在网上也有不少人写出 netsh interface set interface 本地连接 disabled这类的语句来说可以禁用,可是事实上---------用netsh不能成功禁用网卡,至少偶试了N个小时是不成功的,幸好找到了--------devcon.exe,这个微软开发的一个小东东,虽然不是很智能,但一定程序上解决了问题,下面说说关于它的概要:
DevCon 实用工具是一种命令行实用工具,可以替代设备管理器。使用 DevCon,您可以启用、禁用、重新启动、更新、删除和查询单个设备或一组设备。DevCon 还提供与驱动程序开发人员有关、但无法在设备管理器中看到的信息。
一般情况下的用法:(介绍几个常用的命令和语法)
1、devcon find
devcon find * [这个命令可以列出列出本地计算机上存在的所有设备的设备实例]
devcon find pci\* [列出本地计算机上所有已知的“外围组件互连”(PCI) 设备(如果一个设备的硬件 ID 以“PCI\”为前缀,此命令就认为该设备是 PCI 设备]
2、devcon disable *msloop [禁用硬件 ID 以“MSLOOP”结尾(包括“*MSLOOP”)的所有设备]
3、devcon enable '*MSLOOP
[启用硬件 ID 为“*MSLOOP”的所有设备。单引号指示必须严格按字面解释硬件 ID(换句话说,星号 [“*”] 真的是 一个星号,而不是通配符]
4、devcon remove @u *** \*
删除所有 USB 设备。被删除的设备列出时将显示其删除状态
因为下面要讲一个实例,所以先说说硬件ID是啥玩艺,说实在的就是让大家知道怎么找出它,请看:
find pci\* 下面就是找出的一部分:
PCI\VEN_10EC&DEV_8139&SUBSYS_813910EC&REV_10\3&13C0B0C5&0&58: Realtek RTL8139 Family PCI Fast Ethernet NIC
PCI\VEN_1106&DEV_0571&SUBSYS_18271019&REV_06\3&13C0B0C5&0&89: VIA Bus Master IDE Controller
PCI\VEN_1106&DEV_3038&SUBSYS_18271019&REV_80\3&13C0B0C5&0&80: VIA Rev 5 or later USB Universal Host Controller
这几行“:”前面的就是硬件ID,后面是设备名称.
偶要禁用网卡了,请看仔细:
devcon disable *DEV_8139* [就这样就行了,前提是你电脑里有devcon.exe]
偶要启用它了,同样的搞一下: devcon enable *DEV_8139*
如果您指定 -r 并且需要重新启动,则在处理完所有设备后,将在无任何警告信息的情况下重新启动就行了,其它的就不多说了,大家喜欢用的话就去下载一个压缩包在自己机子上用用吧,有些人可能想它要是有更强大的功能,就请各位自力更生……相信自己!
压缩包里是2个文件夹,一个是32 位用的,一个是64位用的,
DevCon.e......>>
问题七:win7策略服务器被禁用不能联网怎么办?? 25分 1. 安装NWlink IPX/SPX/NetBIOS patible Transport Protocol协议。
2. 开启Guest账号:右击我的电脑\管理\用户有个Guest,双击之去掉“账户已停用”前面的勾。
3. 右击我的电脑\属性\计算机名,查看该选项卡中出现的局域网工作组名称名称一致
4. 使用winxp防火墙的例外:winxp防火墙在默认状态下是全面启用的,这意味着运行计算机的所有网络连接,难于实现网上邻居共享。同时,由于windows防火墙默认状态下是禁止“文件与打印机共享的”,所以,启用了防火墙,往往不能共享打印,解决办法是:进入“本地连接”窗口,点“高级”\“设置”\“例外”\在程序与服务下勾选“文件和打印机共享”。
5. 删除“拒绝从网络 *** 问这台计算机”项中的guest账户:运行组策略(gpedit.msc)\本地计算机\计算机配置\windows设置\安全设置\本地策略\用户权利指派\拒绝从网络访问这台计算机。如果其中有guest,则将其删除。(原因是:有时xp的guest是不允许访问共享的)
禁用“帐户:使用空白密码的本地帐户只允许进行控制台登录”
6. 取消“使用简单文件共享”方式:资源管理器\工具 --文件夹选项FONT face=Times New Roman>\查看\去掉“使用简单文件共享(推荐)”前面的勾。
7. 检查注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa右边窗口RestrictAnonymous的值是否为0。(默认是0,你可跳过去。如果不行在回到这里;如没有这一项,不管它。)
8. 勾选“本地连接\属性\Microsoft网络的文件和打印机共享”。
9. 运行服务策略“Services.msc”。启动其中的“Clipbook Server”(文件夹服务器):这个服务允许你们网络上的其他用户看到你的文件夹。当然有时你可把它改为手动启动,然后再使用其他程序在你的网络上发布信息。
10. 无法启动Clipbook服务。错误1068:依存服务或组无法启动。需要这样的步骤(你可以看他们的依存关系):首先开启 Network DDE DSDM (如果已开启,进入第二步),其次开启 Network DDE,然后开启 Clipbook。
问题八:电脑诊断策略服务已被禁用!!怎么解决!!急!! 全是屁话,360有个lsp修复,点一下就好
问题九:电脑突然上不了网诊断了下网络说是:诊断策略服务己被禁用这是什么意 1)如果是宽带本身的问题,首先直接联接宽带网线测试,如果是宽带的问题,联系宽带客服解决。
2)如果是路由器的问题,如果原来可以用,暂时不能用了,我自己的实践是一个是断掉路由器的电源在插上,等会看看。在有就是恢复出厂设置,从新设置就可以用了(这是在物理连接正确的前提下,有时是路由器寻IP地址慢或失败引起的,并不是说路由器坏了)。
如果总是不能解决,建议给路由器的客服打电话,他们有电话在线指导,我遇到自己不能解决的问题,咨询他们给的建议是很有用的,他们会针对你的设置或操作给出正确建议的。
3)如果关闭了无线开关开启就是了,如果是用软件连接的无线,软件不好用又经常出问题是很正常的,没有更好的方法,用路由器吧。另外就是网卡驱动没有或不合适引起的,网线接口或网线是不是有问题等。
4)如果是系统问题引起的,建议还原系统或重装。
问题十:组策略中无线网禁用怎么办 桌面上右击“我的电脑”选择“管理”再选择“服务和应用程序”然后选择“服务”在右边窗口中找找到“wireless Zero Configuration”服务启用后O绩
.
利用组策略中的IPSec(Internet Protocol Security,Internet 协议安全性)的方法来实现电脑禁止上网,具体操作请参照以下步骤。
1、打开Active Directory,新建一个组织单位,这里命名为PC,将需要禁止电脑从Computers中移动到PC里。
2、打开组策略管理,新建一条GPO并在此链接,这里命名为Deny Internet。
3、右键编辑Deny Internet策略,打开计算机配置-策略-Windows设置-安全设置-IP安全策略。
4、IP安全策略点右键创建一条空策略,这里命名为Deny Internet。
5、双击上图中Deny Internet,添加规则。首先去掉"添加向导"前的勾,点击添加,在新规则属性窗口,再点击添加,在弹出的IP筛选器列表同样也是去掉向导的勾。
6、添加一条规则,这里命名为ALL,弹出的IP筛选器属性点确定,然后IP筛选器列表点确定。
7、一条IP筛选列表ALL创建好了,接下来给它指定操作,点击筛选器操作。
8、默认的筛选器操作中没有阻止的操作需要添加。同样去掉向导的勾,新规则属性框点击添加,弹出的新筛选器操作属性选择阻止,再点击常规。
9、在“常规”的页面中,命名为Deny,点击确定。
10、这样在新规则属性里,多了一条Deny操作,为刚才的ALL选中Deny,点应用。这样本机和任意目的IP的全部通讯都被阻拦了,即可通过组策略禁止上网。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)