グループポリシーでインターネット接続をさせなくする

Windows2003Serverのドメイン環境を使用しています。
一般ユーザーには管理者権限を与えていないため、インストールに最低限必要な環境のみを用意する管理者権限のアカウントを作成し、必要に応じてこのアカウントを開放して、必要な作業をしてもらう運用にしようと考えています。

前提条件として、インターネットに接続できないような環境を構築することが必要です。
試行錯誤で辿り着いた方法は、
１．IEのインターネットオプションの「接続」タブでプロキシサーバーをダミーにする
２．IEのインターネットオプションの「接続」タブを見えなくする
ようなスクリプトをログスクリプトとして起動するようなポリシーを作るというものです。
これは取りあえずはうまくいったのですが、困ったことに、社内サーバーまでがアクセスできなくなってしまいました。hostsファイルで名前解決しているサーバーをhttpで呼ぶ場合は問題無いのですが、社内サーバーからActiveXを配信してインストールする場合は、アクセスできないのです。

IEのコンテンツアドバイザ機能で、接続可能なサーバーを簡単に指定できるようですが、2003のADでは、グループポリシーとして設定できないようです。

ダミーのプロキシではなく、社外サイトへ通さないような設定をしたプロキシを通すのが正攻法だとは思うのですが、そこまでの知識もなく、余分なマシンもないのが実情です。

これ以外にインターネット接続を禁止することのできる方法がありましたら、教えて頂けないでしょうか？（ブラウザはIE限定でもよいと思っています。）

No.2 ベストアンサー 回答者： maesen 回答日時： 2014/02/28 08:56

＞サーバーが2003なので、Windowsファイヤウォールの設定をグループポリシーで行うことはできないようですので、これは駄目でした。

こちらの設定もRSAT等を使用しないと設定ができません。

＞RSATのほうを調べていますが、ちょっと知識不足で良く判りません。

ちょっと難しく考えているような気がしますが、
Windows Server 2003でVista以降のグループポリシーが機能的に使用できないのではなく、管理ツールが古いので設定ができないだけです。
だから、管理ツールを新しいものを使用して設定するということです。
そのツールがWindows7ではRSATの中にあるというだけです。

新しい管理ツールが使用出来れば、DCがWindows Server 2003でもWindowsファイヤウォールもコンテンツアドバイザ機能も設定できるはずですが。。。

＞確かにこれが一般的だと思いますが、特定アカウントを使用する場合のみという制限付きなので、

質問からこのことが読み取れませんでしたので失礼をしました。
Windowsファイヤウォールはコンピュータの構成の設定なので、Windowsファイヤウォールという提案はだめですね。

＞ダミープロキシではなく、実際に動作するプロキシを立てて、プロキシのポリシーで社内LAN以外をはじくという方法もありかなと思い始めました。

結果的にこのほうがメリットが大きいような気がします。
認証プロキシにすればユーザー毎にコンテンツの制限を変えたりいろいろできますし。

この回答へのお礼

コメント有難うございました。
お礼が遅れてすみません。

RSATのほうは知識不足と、別PCを立てて運用するのにはちょっと抵抗があるので、比較的負荷の少ないWindowsサーバーにsquidを入れ、社内LAN以外をはじくことに成功しました。

ただ、当初の目的であったアプリケーション（ActiveX）のインストールが管理者権限では成功するのですが、元のユーザーに戻ったところ、実行できないという問題が発生して目的は達していないのですが、これは別問題ですね。

どうもアドバイス有難うございました。

お礼日時：2014/03/13 16:44

No.1 回答者： maesen 回答日時： 2014/02/26 17:55

クライアントのOSも書かれたほうが良いかと

＞IEのコンテンツアドバイザ機能で、接続可能なサーバーを簡単に指定できるようですが、2003のADでは、グループポリシーとして設定できないようです。

この認識は誤りです。
ドメインコントローラが2003でも、Vista以降のグループポリシーを設定することは可能です。

Windows7などを1台管理用として使用する必要がありますが、そこからRSATを強いようすれば可能です。
以下を参照してみて下さい。

http://social.technet.microsoft.com/Forums/ja-JP …

上記で問題が解決されれは良いのですが、そのほかにもコメントさせて頂きます。

＞これは取りあえずはうまくいったのですが、困ったことに、社内サーバーまでがアクセスできなくなってしまいました。hostsファイルで名前解決しているサーバーをhttpで呼ぶ場合は問題無いのですが、社内サーバーからActiveXを配信してインストールする場合は、アクセスできないのです。

これは例外設定がうまくいっていないだけのような気がしますがどうでしょうか？

＞これ以外にインターネット接続を禁止することのできる方法がありましたら

インターネットに接続してはいけないPCが特定の範囲になるようDHCPやIPアドレスの設定をして、ルータやファイアウォールで外に出れないようにする方が一般的かなという気がします。

ルータやファイアウォールの設定が不可ならば、PCがVista以降という制限が付きますがWindowsファイアウォールの設定というのも考えられます。
Windowsファイアウォールの設定もグループポリシーになりますが。

この回答への補足

サーバーが2003なので、Windowsファイヤウォールの設定をグループポリシーで行うことはできないようですので、これは駄目でした。
http://www.atmarkit.co.jp/fwin2k/win2ktips/1360g …

RSATのほうを調べていますが、ちょっと知識不足で良く判りません。

ダミープロキシではなく、実際に動作するプロキシを立てて、プロキシのポリシーで社内LAN以外をはじくという方法もありかなと思い始めました。

補足日時：2014/02/27 09:26

この回答へのお礼

maesenさん、コメント有難うございました。
色々とアドバイス頂き感謝致します。

OSはほぼWindows7ですが、Xpが10数台残っています。

＞ドメインコントローラが2003でも、Vista以降のグループポリシーを設定することは可能です。
＞Windows7などを1台管理用として使用する必要がありますが、そこからRSATを強いようすれば可能です。

情報有難うございました。私の知識が足りないと思うのですが、コンテンツアドバイザ機能という項目自体がグループポリシーエディタに無かったもので諦めてしまいました。

＞インターネットに接続してはいけないPCが特定の範囲になるようDHCPやIPアドレスの設定をして、ルータやファイアウォールで外に出れないようにする方が一般的かなという気がします。

確かにこれが一般的だと思いますが、特定アカウントを使用する場合のみという制限付きなので、ルータ等のレイヤの機器では出来ないように思います。

＞ルータやファイアウォールの設定が不可ならば、PCがVista以降という制限が付きますがWindowsファイアウォールの設定というのも考えられます。

Windowsファイヤウォールもグループポリシーが使えるのですね。Xp端末は例外ということにしてこの運用が一番判り易そうです。

お礼日時：2014/02/27 09:06