我们计划从工作组迁移到 Active Directory(Windows Server 2008 R2:域控制器、DNS 和 Windows XP/7:工作站)。此时某些计算机不允许访问 Internet(我们实现了这一点,但让网络配置窗口中的 DNS 字段为空)。用户没有管理权限,因此他们无法更改设置。无论用户使用什么 Internet 浏览器,这都能很好地工作。
我们可以在 Active Directory 环境中执行此操作吗?
我认为你这样做是错误的。uSlackr 的想法会奏效。您可以在组策略中设置代理服务器,但正如 Nixphoe 所说,这只适用于 IE。Nixphoe 的想法破坏了 Active Directory 的功能,因此应该避免。使用 Active Directory 执行此操作的每种方法都会有一些缺点。
解决方案(即使这不是您想要的答案)是在您的防火墙上执行此操作。大多数优秀的防火墙都能够阻止一组 IP 地址的 Internet 访问。只需确保这些计算机获得正确的 IP 地址,但将它们放在交换机上自己的特殊 VLAN 中或为它们创建 DHCP 保留。