如何通过组策略禁止上网

利用组策略中的IPSec（Internet Protocol Security，Internet 协议安全性）的方法来实现电脑禁止上网，具体操作请参照以下步骤。

1、打开Active Directory，新建一个组织单位，这里命名为PC，将需要禁止电脑从Computers中移动到PC里。

2、打开组策略管理，新建一条GPO并在此链接，这里命名为Deny Internet。

3、右键编辑Deny Internet策略，打开计算机配置-策略-Windows设置-安全设置-IP安全策略。

4、IP安全策略点右键创建一条空策略，这里命名为Deny Internet。

5、双击上图中Deny Internet，添加规则。首先去掉"添加向导"前的勾，点击添加，在新规则属性窗口，再点击添加，在弹出的IP筛选器列表同样也是去掉向导的勾。

6、添加一条规则，这里命名为ALL，弹出的IP筛选器属性点确定，然后IP筛选器列表点确定。

7、一条IP筛选列表ALL创建好了，接下来给它指定操作，点击筛选器操作。

8、默认的筛选器操作中没有阻止的操作需要添加。同样去掉向导的勾，新规则属性框点击添加，弹出的新筛选器操作属性选择阻止，再点击常规。

9、在“常规”的页面中，命名为Deny，点击确定。

10、这样在新规则属性里，多了一条Deny操作，为刚才的ALL选中Deny，点应用。这样本机和任意目的IP的全部通讯都被阻拦了，即可通过组策略禁止上网。

1、打开“AD用户和计算机”，在wanxing.cn域上新建一个OU，命名为：Client（组织单元里有用户thin-01）

2、右击Client，打开Client属性，点击“组策略”，展开“组策略”属性，点击“新建”按钮，新建一组策略对象，重命名为“禁止上网”。

2-1：选择“禁止上网”这一策略对象，点击“编辑”按钮，打开“组策略编辑器”，然后在左侧的控制台树中依次展开：用户配置→Windows设置→Internet Explorer维护→连接。

2-2：在右侧的详细窗格里双击“代理设置”策略项，然后在弹出对话框上勾选“启用代理服务器设置”复选框，然后将代理服务器设置为“127.0.0.1”，如下图所示，应用了这条组策略，IE浏览器就无法访问Internet。

2-3：在“运行”输入：cmd，打开命令提示符，然后输入：gpupdate /force (手动更新组策略，使策略立即生效)(4)输入：gpresult （查看组策略应用结果）3、回到域客户端XPDC，打开IE浏览器，验证策略应用结果如下图所示：

应用组策略之前，正常打开网页。

应用组策略之后，无法正常浏览网页，策略生效。

你好：你好开始---运行---gpedit.msc----用户配置---管理模板----网络----网络连接 就知道怎么做了

那你必须用administrator建个新用户，然后限制这个用户的权限