使用AD组策略控制电脑上网权限

在一般的企业中，IT管理员如果设置一部分电脑能上网，一部分电脑不能上网，一般都是在防火墙或路由器上控制IP地址或mac地址能否上网，有的企业中有上网行为管理设备（如深信服的AC）的话，也会在行为管理设备上控制，不管哪种方式，都要收集用户电脑的MAC地址或IP地址，如果IP地址经常变化的话，对IT管理员来说限制用户上网也变得很麻烦。

如果你的企业中有AD域控的话，也可以用AD的组策略来限制，这样对IT管理员来说非常方便，如果需要变更一台用户电脑的上网权限，只需把电脑加入或删除安全组就行了，不需要在防火墙，路由器或上网行为管理上操作。

以下我们展示一下详细的组策略设置步骤：

一． 新建组策略（命令为“禁止用户上网“）

在AD里建一个安全组，需要禁止上网的电脑都加到这个安全组中，然后组策略在安全筛选中删除默认的“Authenticated Users”,然后再添加对应的安全组

在组策略的“委派”窗口，需要再加上“Authenticated Users”的只读权限，这样所有电脑都能读到这条组策略，如果筛选条件成功，则应用，如果筛选条件失败，则不应用这条策略，注意的是，如果不加上“Authenticated Users”的只读权限，所有电脑就会应用不到这条策略

二． 编辑组策略：

我们需要用到IP安全策略来设置，设置的内容是应用到此策略的计算机默认到所有IP拒绝访问，然后对所有内网的单个IP或子网访问全部允许

新建一个IP安全策略

进入“管理IP筛选器列表和筛选器操作”，新建IP筛选器以及操作

然后对策略执行分配使它生效。

三． 验证策略：

我们现在把计算机TEST01加到禁止上网的组中，重启电脑看一下能不能上网