本文是对《禁止普通用户访问Internet─阻断默认网关》的补充,大家可以参考该文,以了解相关背景信息:http://blogs.itecn.net/blogs/ahpeng/archive/2005/12/30/Disable_Default_Gateway.aspx
版权声明:
本文所介绍方法参考自MVP王洋(网名gnaw0725)的帖子,大家可以参考以下的链接,查看王洋兄弟的原帖:
http://bbs.mscommunity.com/forums/ShowThread.aspx?PostID=5673
这个方法的精髓在于通过组策略更改IE浏览器的代理设置,使得IE浏览器无法访问Internet,同时设置该策略对管理员以外的用户有效,具体步骤如下:
(1) 以Admin身份登录系统,在运行对话框里输入gpedit.msc并回车,打开组策略管理单元窗口。
(2) 在左侧的控制台树中依次展开用户配置→Windows设置→Internet Explorer维护→连接。
(3) 在右侧的详细窗格里双击“代理设置”策略项,然后在弹出对话框上勾选“启用代理服务器设置”复选框,然后将代理服务器设置为“127.0.0.1”,如图1所示,应用了这条组策略,IE浏览器就无法访问Internet。
图1 设置代理策略项
(4) 为了确保Admin不受这条策略的影响,需要在步骤(3)打开的对话框上清空“启用代理服务器设置”复选框。
(5) 由于这条策略项实际保存在C:\WINDOWS\System32\GroupPolicy\User\MICROSOFT\IEAK\install.ins文件里,用记事本打开该文件,其内容如图2所示。
图2 install.ins文件的内容
注意其中[Proxy]小节的Proxy_Enable参数,如果Proxy_Enable=1,则启用该IE代理设置,如果Proxy_Enable=0,则禁用该IE代理设置。
这里我们设置Proxy_Enable=1,然后保存该install.ins文件,并且设置该install.ins文件的NTFS权限,拒绝管理员组成员用户拥有访问权限。
(6) 注销当前用户,以普通用户身份登录系统,系统会自动启用IE代理设置的组策略,从而导致普通用户无法上网。而管理员用户登录系统时,由于拒绝访问C:\WINDOWS\System32\GroupPolicy\User\MICROSOFT\IEAK\install.ins文件,所以不会启用IE代理设置。