精华内容
下载资源
问答
  • 我们在公司或者学校机房上网时,会遇到下面这种情况

    问题:在学校或者公司上网时,上网限制策略会限制一些网站的访问。
    在这里插入图片描述
    在这里介绍一种跳过该策略的方法(xshell+火狐浏览器+云服务器)

    1. 在xshell中登录云服务器,点击查看-隧道窗格。
      在这里插入图片描述
    2. 点击转移规则,右键添加转移规则
      在这里插入图片描述

    3.配置完成后打开火狐浏览器,设置-选项-常规-网络代理
    选择手动配置代理,设置如下参数
    在这里插入图片描述
    至此,就可以畅游互联网了
    在这里插入图片描述

    展开全文
  • 你们好请问一下如何用server2003组策略限制域用户上网 转载于:https://blog.51cto.com/133866/32985
    你们好请问一下如何用server2003组策略限制域用户上网

    转载于:https://blog.51cto.com/133866/32985

    展开全文
  • 在企业网络管理中,我们很重要的一块工作,就是对企业员工的网络行为的管理。... 域环境中的软件限制策略,也就是说,当用户利用域帐户登陆到本机电脑的时候,系统会根据这个域帐户的访问权限,来...
    在企业网络管理中,我们很重要的一块工作,就是对企业员工的网络行为的管理。如不允许他们使用QQ、MSN等聊天工具,或者不允许他们在上班时间看电影等等。要实现这些方面的控制,现在已经有不少好的工具。利用域控制器,来实现对某些软件的限制,也是其中一种比较流行的方式之一。
      域环境中的软件限制策略,也就是说,当用户利用域帐户登陆到本机电脑的时候,系统会根据这个域帐户的访问权限,来判断其是否有某个应用软件的使用权限。当其没有相关权限的时候,则操作系统就会拒绝用户访问某个应用软件,从而来管理企业员工的操作行为。
      在这篇文章中,笔者将对软件限制策略的一些常识进行一些简短的介绍,然后在后续的文章中,笔者会结合自己公司的设置,来讲解一些具体的应用。希望这一系列的文章能够对各位读者有所帮助。
      一、 应用软件与数据文件独立
      在应用软件限制策略的时候,需要明白的第一个原则就是“应用软件与数据文件独立”独立原则。也就是说,你即使具有数据文件的访问权限,但是,若其没有其关联软件的访问权限的话,则仍然不能够打开这个文件。如现在某个用户从网上私自下载了一部电影,其作为所有者人,当然具有对这个数据文件进行访问的权限。但是,我们在软件限制策略设置的时候,这个用户帐户无法访问任何的视频播放软件。如此的话,这个用户仍然无法播放这部电影。
      这就是应用软件与数据文件独立的原则。这个原则在实际应用中非常有用。因为我们很难控制用户从网络上下载文件。如用户若从网络上下载歌曲,甚至通过U盘等工具从企业外部把文件拷贝到电脑上去。这些行为我们很难控制。但是,我们对于用户电脑上应用程序的控制来说,则相对简单许多。我们只需要把这些应用程序控制好,则即使用户私自下载受限制的文件,则用户最终也没有软件可以打开它。这也就可以控制他们的相关不正当行为。
      二、 软件限制策略的冲突处理原则
      软件限制策略跟其他组策略一样,可以在多个级别上进行设置。或者说,软件限制策略是组策略中的一个特殊分支也未尝不可。所以,软件限制策略可以在本地计算机、站点、域与组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。而就是因为如此,所以也就产生了冲突的可能性。当在各个设置级别上的软件限制策略发生冲突的时候,其优先性如何呢?
      一般来说,其优先性的级别从高到低如下:
      第一,组织单元策略;第二,域策略;第三,站点策略;第四,本地计算机策略。这里特别要注意一点,就是组织单元的策略要比域策略的优先性级别要高。也就是说,在域策略中,限制用户使用视频播放器;而在一个培训组织单元中,则允许这个单元中的账户具有视频软件的访问权限。则即使这个组织单元在这个域中,则只要帐户属于这个组织单元,则其仍然可以使用视频软件,因为组织单元级别的优先性要高于域中的设置。
      不过,笔者建议最好把软件限制策略利用在域中与组织单元中,而不要放在其他的两个级别中。在域中,实现一些共有的配置,如限制企业员工使用QQ或者Msn聊天工具等等。而在OU中,一般情况下继承域的相关配置。当这个组具有特殊的权限时,如现在有一个培训组,这个组中的账户需要有视频软件的播放权限,则就可以在这个组织单元的级别上进行配置。如此的话,就可以保证有一个比较统一的软件权限策略管理平台。若牵涉的级别太多,特别是在本地计算机上配置的话,则会破坏这个统一平台,虽然其优先级比较低。
      三、 软件限制的规则
      默认情况下,软件限制策略提供了两种软件限制的规则。
      一是不受限制的。也就是说,所有登陆的用户都可以运行指定的软件。只要用户具有数据文件的访问权限,就可以利用软件打开这个文件。这也可以看出,应用软件的访问权限跟数据文件的访问权限是独立的。用户只具有应用软件或者数据文件的访问权限,往往还不够。需要两者权限都有,才能够打开相关的文件。
      二是不允许的。即所有登陆系统的帐户,都不能够运行这个应用软件,无论其是否对数据文件具有访问权限。
      系统默认的策略是所有软件运行都是“不受限制的”。也就是说,只要用户对于数据文件有访问权限,就可以运行对应的应用软件。
      四、 哪些软件不能够运行
      笔者在前面的文章中,也谈到过如何利用组策略来限制某些软件的运行。但是,如利用前面的方法,则有一个不好缺陷,当用户修改了应用软件的名字的时候,如把QQ改为“liaotian”,则原有的组策略限制就会失效。也就是说,前面谈到的方法是防小人,不妨君子。而利用软件限制策略的相关规则,则可以实现更加精确的控制。
      如可以使用哈希规则来确定哪些软件可以运行,哪些软件不可以运行。
      哈希是根据软件程序的内容根据一定的规则计算出来的一连串固定数目的字节。因为它是根据软件的内容计算出来的,而不是纯粹的根据软件的名字来进行判断,所以,即使用户修改了应用软件的名字,其仍然必须受到这个软件策略的限制。当然,不同的应用软件,由于其应用程序的内容不同,所以其计算出来的哈希值也是不同的。当我们在为某个应用软件建立哈希规则,限制用户不允许运行此软件时,域控制器就会为该软件计算出一个哈希值,判断是否与软件限制策略中的哈希值相同。如果相同的话,操作系统就会拒绝这个软件的运行。所以,当用户人为的修改应用程序的名字或者移动位置的话,因为应用程序的本质内容没有改变,所以其哈希值也不会改变,固其仍然要受到软件策略的限制。但是,如果应用程序中毒了,则可能就会影响到哈希值,从而使得软件策略不起作用。哈希规则是我们比较常用的规则,因为其方便、容易控制。
      除了哈希规则,我们还可以通过其他规则来控制软件是否运行。
      如可以通过路径规则来判断。软件限制策略可以用软件所在的路径来辨别软件是否需要受到软件运行策略的限制。例如可以限制某个文件夹下的软件禁止运行等等。不过,由于这是纯粹的根据应用软件的路径来判断,当应用软件被移动的时候,则这个软件将不再受软件限制策略的约束。很明显,这比起上面讲的哈希规则的话,作用要小得多。
      在软件限制策略中,一共提供了四种规则来辨识是否允许运行某种软件。除了上面的两种规则之外,还有证书规则与internet区域规则等等。这里要注意一点,有些人可能认为还有一个注册了表规则。其实,注册表规则在官方的资料中,认为其只是路径规则中的一个内容,或者说,其包含在路径规则中。所以,其只有四种规则,可以来进行判断是否允许某个软件来运行。
      但是,这四个软件的优先级别如何呢?如现在对于QQ这个软件,我们利用哈希原则,定义这个软件是不可以运行的;而在路径规则与证书规则中,我们设置其为不受限制的。此时,最终的结果会是如何呢?根据规则的优先级原则,其优先级从高到低依次为哈希规则、证书规则、路径规则与Internet区域规则。从上面的例子看,哈西原则的优先性最高,其用户最终是无法运行QQ这个软件,虽然其他两个规则都允许他运行。
      故,笔者建议,在采用这些规则的时候,为了避免一些不必要的冲突,还是采用哈希规则为好。个人认为,哈希规则是一个必要好用的规则,而且,其漏洞也比较少,如不会因为员工恶意更改应用程序名字或者移动应用程序的位置而导致软件限制策略失效。
      所以,在考虑采用软件限制策略的时候,最好不要在多个级别上采用多个不同的判断规则,否则的话,在这些因素的多重作用下,出来的结果可能连我们自己都弄不明白。笔者现在在配置软件限制策略的时候,一般只在域与组织单元的级别上进行配置;采用的也是哈希单一规则。笔者认为,这无论在设计还是后续维护上面,都是比较方便的。

    转载于:https://blog.51cto.com/yerik/337707

    展开全文
  • 不用上网行为管理之类的,我们只用域本身的组策略可不可以实现呢,答案是可以的! 我们就用飞秋这个软件来简单说一下: 组策略有优先级,记住这些规则: 计算机策略覆盖用户策略; 不同层次的策略产生冲突时,子...

    公司里有时候会要求限制一些软件在电脑上运行,比如CS,以免公司员工在下面玩游戏

    不用上网行为管理之类的,我们只用域本身的组策略可不可以实现呢,答案是可以的!

    我们就用飞秋这个软件来简单说一下:

    组策略有优先级,记住这些规则:

    计算机策略覆盖用户策略;

    不同层次的策略产生冲突时,子容器上的gpo优先级高;

    同一容器上多个gpo产生冲突时,处于gpo列表最高位置的gpo优先级最高。

    本地策略<站点<域<OU;

    所以你本地策略优先级是最低的!

    运行dsa.msc或在管理工具里打开Active Directory用户和计算机

    p_w_picpath

    我们假如要给BB这个组织单位(OU)做一个禁止飞秋的限制策略,可以右建它,属性,里面找到组策略

      

    因为我之前装了组策略管理工具

    p_w_picpath

    所以它会强制你使用这个工具,点击打开,

    p_w_picpath

    看下它里面

    p_w_picpath

    装完这个之后,在管理工具里也可以找到它,你直接打开它就行

    p_w_picpath

    我已经在BB下面建了一个stop feiq的策略

    打开看下,右键策略,点编辑就行

    我们看到我在定义在用户配置下了,计算机配置下也可以,不过OU里要有你要的计算机才行

    p_w_picpath

    一共有4种规则

    p_w_picpath

    我建了一个路径规则和哈希规则:

    路径规则就是程序所在的位置,程序换一个位置就不起作用了。

    哈希规则只是对固定的一个版本有效,换一个版本就不起作用了,只要找到程序,打开就可以了!

    还有证书规则,有证书的程序,在属性里可以导出证书,在打开程序的时候,有证书的程序,也可以自动识别到证书

    再有就是区域规则,针对IE里的站点的!

    所以,证书规则是最好的!

    这是哈希规则创建时的情况

    p_w_picpath

    安全级别里一般都默认不受限,否则,在这个策略管辖范围内的所有人所有软件都不能运行了,而不论你定的什么规则!

    p_w_picpath

    这个强制里面,可以指定受限对象和受限类型

    p_w_picpath

    p_w_picpath 

    如果不对管理员应用规则,就可以在这里设置

    p_w_picpath

    从上面这个图我们可以看到BB这个OU的策略要比域里的默认策略优先级高,所以会先执行

    设置完规则记得运行gpupdate /force这个命令,更新组策略,客户端也要执行这个命令,或者干脆注销或重启,不然它有个生效的时间,域控制器5分钟更新一次,客户机90分钟更新一次

    在客户机上可以执行rsop.msc查看执行结果有没有生效,当然如果生效,运行程序时会提示你

    p_w_picpath

    如果客户机是WIN7,在服务器执行gpupdate /force时会要求你注销才能生效

    当然WIN7的提示和XP的提示有点区别,区别就是没有这么多字了,哈哈!

    如果多个OU应用同一个策略,可以在创建完一个后剩下的都链接现有GPO就可以了!

     

    一般情况下,域中的组策略会从父容器传递到子容器,使用 Active Directory 用户和计算机可查看这一点。组策略不会从父域继承到子域,例如,从 wingtiptoys.com 到 sales.wingtiptoys.com。“Active Directory 域和信任关系”(可用于管理这种类型的关系)与组策略无关。

    也就是说如果如果一个OU里面还有OU,里面的OU都会默认执行上层OU的策略,如果不想应用上面的策略,就可以设置阻止继承,“阻止策略继承”选项只能在域和组织单位上设置,而不能在单个组策略对象上设置。

     

    上面如果勾选阻止策略继承,假如上层OU做了与这个策略相反策略,比如允许执行飞秋软件,则上层策略也不会覆盖这个策略,如果上层OU没做这样的策略,则默认也不会覆盖这个策略

    如果上层OU要强制下层OU使用它的策略,哪怕你下层OU做了相反的策略,那我们可以这样设置

    在上层OU策略中,选项打开,选中“禁止替代”复选框后,就会强迫所有子策略容器继承父策略,即使这些策略与子策略相冲突,或者即使已为子容器设置了“阻止继承”选项。

    如果你做了一个错的策略,把所有人都限制了,包括域管理员,肿么办呢,我就遇到过这,哎,伤不起

    运行mmc,文件,添加或删除管理单元,添加,组策略对象编辑器,添加,然后浏览,可以在相应的OU下找到你定义的策略,你可以直接把它删除了,或再编辑都是可以的!

    转载于:https://blog.51cto.com/mcmvp/1072811

    展开全文
  • 根据B2B International在2012年7月进行的一项调研显示,企业通常通过限制员工访问一些网站或禁止使用一些第三方应用来确保自己的IT安全,受限制最多的是网络游戏,71%的IT专业人士表示这是企业安全策略中一部分。...
  • 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的...下面我们就来看看怎样通过组策略限制用户安装和使用软件: 一、限制用户使...
  • 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的...下面我们就来看看怎样通过组策略限制...
  • 在一个员工比较多的环境里,互联网访问需要做某些限制,最常用的限制就是哪些人员可以上互联网,哪些人员不能上互联网,我们可以通过电脑的IP地址,在防火墙上设置策略,允许或禁止某些IP地址上网
  • 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的...下面我们就来看看怎样通过组策略限制用户安装和使用软件: 一、限制用户...
  • 防火墙 修改出站通信策略为禁止 注:此过程中所有网络会断开 2.新增允许上网的Vlan1(具体按照实际情况) 对于vlan之间互通,如vlan3跟vlan4互通,vlan3,vlan4禁止上网 新增一条记录,允许vlan3(192.168.3.*)跟...
  • 企业员工经常将属于个人的笔记本电脑带到公司的网络环境(网络部署DHCP服务器)中,拔下原来电脑网线,接上个人笔记本电脑后通过自动获得网络参数,然后访问公司的网络资源或者直接上网玩游戏。因此,管理者做出以下...
  • 防火墙,通俗地打个比方就相当于城池...Linux防火墙体系主要工作在网络层,针对TCP/IP数据包的过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙),Linux系统的防火墙体系基于内核编码实现,具有非常稳定的...
  • 回到寝室就想上网打游戏,想施行强制措施怎么办? 禁玩网游 要想不玩网游,很简单。点击“开始/运行”,输入“gpedit.msc”并确定,打开“组策略”窗口,在左边选“管理模板/系统”,双击“不要运行指定的 Windows...
  • 防火墙,通俗地打个比方就相当于城池周围的护城河,开放和管理服务的提供一般电脑系统的安全主要取决于:1)第三方监控杀毒软件 如360杀毒软件2)系统策略 防火墙规则设定3)文件的权限设定Linux防火墙体系主要工作...
  • 无线无法上网,具体为无线可以连上某wifi,但是却显示“连接被限制为<WIFI>名”,这种情况下是无法上网的,于是我点“疑难解答”,却被告知“诊断策略服务未运行”,无法自动诊断 回想了一下,是因为电池没...
  • 在研究如何更好效的管理公司电脑,限制客户端安装和运行各种公司列入黑名单的软件时,了解了一下XP以上系统的组策略里新加入的软件限制策略,发现运用此策略也能实现一些其它功能哦~~~~~ 上网的朋友都知道,有...
  • win10系统电脑上网,电脑的网速变得越来越慢了,下载文件或软件都要等很久,有时还会出现掉线的问题。检查发现网络并没有什么问题,使用其他电子设备连接宽带,网速却很快。这个可能是和windows10系统保留宽带有关系...
  • 上网查了一下归结一下出现这 种情况的原因和解决办法。 原因:用 远程桌面链接登录到终端服务器时经常会遇到“终端服务器超出最大允许链接数”诸如此类错误导致无法正常登录终端服务器,引起 该问题的原因在于...
  • 多用户+组策略+ie分级审查+pcanywhere+花生壳 多用户:1个管理员帐户,1个poweruser帐户 组策略:屏蔽该屏蔽的 ie分级审查:让你允许的网站加入“许可站点”,并设置密码 pcanywhere:远程...
  • 如果想在多台计算机上应用相同的组...借助它,可以调整系统设置、为用户创建限制以及进行更多操作。现在,假设你要全新安装Windows10,或者需要将其安装在多台计算机上,并且希望对所有计算机都应用相同的组策略设置...
  • 所谓同源是指:域名、协议、端口相同 为什么要有跨域限制 因为存在浏览器同源策略,所以才会有跨域问题。那么浏览器是出于何种原因会有跨域的限制呢...其实不难想到,跨域限制主要的目的就是为了用户的上网安全。 ...
  • 其实不难想到,跨域限制主要的目的就是为了用户的上网安全。 如果浏览器没有同源策略,会存在什么样的安全问题呢。下面从 DOM 同源策略和 XMLHttpRequest 同源策略来举例说明: 如果没有 DOM 同源策略,也就是说...
  • 1. 何为跨域? 记住一点: ...其实不难想到,跨域限制主要的目的就是为了用户的上网安全。 如果浏览器没有同源策略,会存在什么样的安全问题呢。下面从 DOM 同源策略和 XMLHttpRequest 同源策略...
  • 网络爬虫简单策略

    千次阅读 2012-10-24 09:23:04
    公欲善其事,必先利其器。  前几天同学问我,获取一个网站的资料是...不要考虑策略去获取最新的资料,可有个很大的问题就是通过api的调用完全受api服务器端限制,就和在中国上网一样,说哪个网站不上你上,那你通
  • 同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 同源是指相同的协议、域名、端口,三者都相同才属于同域...其实不难想到,跨域限制主要的目的就是为了用户的上网安全。 CORS(跨域资源共享) CORS(Cros...
  • windows组策略(三)

    千次阅读 2006-01-08 18:29:00
    让Windows 的上网速率提升20%(Windows XP/2003) 默认情况下,Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内,这对带宽较小的网络来说,无疑是笔不小的开支。我们可以通过组策略设置来替代默认值,...
  • 防火墙策略元素 打开ISA服务器管理,选中防火墙策略,此时右侧面板的工具箱中显示的就是策略元素,大家看到的有...例如:要限制某些用户可以上网、某些不可以上 允许上网的用户 在上图、选择用户、单击、新建 ...

空空如也

空空如也

1 2 3 4 5 ... 11
收藏数 202
精华内容 80
关键字:

上网策略限制