组策略禁止客户端计算机访问指定的网址
计算机名 角色 IP
NEWDC01 Web Server 192.168.111.1
OLDDC01 DC 192.168.111.100
Client01 Client DHCP Asign
测试前验证Client01能访问Web Server(NEWDC01)。
在域客户端计算机Client01上打开IE输入WebServer的网址,如下图所示:
测试目的:禁止用户在客户端Client01上访问Web Server。
方案一:使用GPO的“IP安全策略,在Active Directory”
操作步骤:
1、 在OLDDC01上打开组策略管理器,创建一条GPO(我这边是),然后编辑
2、 在弹出的配置界面中找到“计算机配置-Windows配置-安全设置-IP安全策略,在Active Directory”,单击鼠标右键“创建IP安全策略”
创建IP安全策略过程:
输入“IP安全策略名称”
下一步
默认,下一步。
完成。
添加。
下一步。
下一步
下一步。
添加
填入名称后,单击“添加”。
下一步。
下一步
源地址,选择“我的IP地址”
目标通讯地址可以根据自己的需求选择(需要禁止访问的目标地址)
我这里选择“目标地址”为“一个特定的IP地址”,然后填入“WebServer”的IP。
选择协议类型,我这里选择“TCP”。
这里由于我们的网页是https访问的,所以端口号写443,下图有误,请根据自己的需求自行修改即可。
完成
确定
选择,刚才创建的IP筛选器,下一步
添加
填入“名称”,下一步。
选择“阻止”,下一步。
完成
选择刚才创建好的筛选器。
完成。
确定。
确定
设置好了以后,需要将该IP限制策略指派出去。
3、 将该策略应用到client01所在的OU上,然后再client01计算机上运行gpupdate /force命令,最好再重启下client01.
4、 在client中打开IE,并输入webserver网址,结果如下:
方法二:GPO 设置IE受限制站点(经测试并不能禁止所有网页)
具体设置是:在DC中打开“组策略管理器”—>创建一条GPO并连接到需要禁止HTTP访问的计算机所在OU—>编辑该组策略—>导航到“计算机设置”,“管理模板”,“Windows组件”,“Internet Explorer”,“Internet控制面板”,“安全页”,“站点到区域分配表”。
下图中的”4”代表“受限制区域”。
保存后,在客户端刷新策略即可。
