中国网管论坛 » 企业网管讨论专版 » 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

rayli2003 发表于 2006-2-2 02:01

征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

[本公司网络环境：38台电脑，主机系统除了其中一台配制差装的是winMe系统外，其它都是XP和WIN2000，每台电脑是都装有一些办公软件，所有电脑通过二台交换机连接成一个无域的100M局域网，使用型号TP-LINK460路由器通过ADSLMODEM连入Internet，带宽是2M，公司有购买了网上企业邮箱，38台电脑都分配有一个邮件账号进行联系，使用outlook收发邮件][Q：①如何禁止部分电脑除能收发邮件外一切的网络连接？（经理的电脑网络开放） ②如何禁止员工在自己的电脑上面做工作无关的事情？（例如单机游戏，音乐等）]
  注：小生乃一家小公司网络管理员，因刚出来工作不久，对于公司电脑管理这一方面因为精验不足做的让领导不是很满意，其主要问题是如何禁止员工上网和在电脑上面做与工作无关的事情，本人所尝试的办法有：1，通过Tp-link路由器自带的IP规则过滤包禁用端口和代理服务器，只允许禁止访问网络的那部分主机通使用21和110这个端口进行通信，但结果失败，实验过多次，不知我是设置有错误还是tp-ling460那款路由器是否有这项功能。 2，通过各类网络监控软件来禁止局域网主机的上网行为，本人使用过的软件有 网路岗，网络警，Superlan,p2p终结者等，但效果都不是很好，唯一听说有款聚生网管软件能做到，但没能找到破解版。3，使用各种网管软件禁止员工打开与工作无关的程序。 我使用过侠客系统修改器，连美屏都用上了，大家都知道这些常见的软件都有漏洞，本公司不乏一些电脑爱好者。最终也是失败！  有朋友提醒我说在公司里面建立一些电脑使用惩罚制度，但作为一个技术人员，我认为那样不是个很好的办法，不如用技术解决这些问题，员工都也只会在背后骂，我们当听不到。哎，干我们这一行的，拿着吃不饱饭的工资在公司里面充当着万能人，相信与我同行的朋友一定深有同感，真诚希望各位IT同仁在此发表一下自己的心得与工作经验，让大家一起讨论学习一下！  本人QQ：4429993  网络技术群：830059  谢谢！

紫竹岚 发表于 2006-2-3 14:07

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

虽然这个问题我没有能力帮你解决，但我可以给一点我的经验，我也是刚出来工作不久，记得在一家公司实习的时候，因为公司网络非常大，一共四层楼，每层楼大概有200台以上的电脑，我是在电脑部实习的，所以公司的机房非常的大而且设备也很多很全，至于你说的那个问题，我是不会弄的，但我看到我实习的时候全公司的员工一上其它的网站（即非公司指定的网站）就会弹出一个提示输入用户名，密码，域之类的对话框，虽然每个员工都有这个个人资料，但并非每个员工输入后都可以上外网，只有向公司申请的员工才有权限，鉴于公司的网张情况，我觉得这应该是域策略造成的，因为公司使用了域，使用后每个员工都不可以安装软件，这样就可以不让员工玩游戏，但可以玩一些小游戏，例如FLASH游戏之类的

rayli2003 发表于 2006-2-3 18:04

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

[QUOTE=紫竹岚]虽然这个问题我没有能力帮你解决，但我可以给一点我的经验，我也是刚出来工作不久，记得在一家公司实习的时候，因为公司网络非常大，一共四层楼，每层楼大概有200台以上的电脑，我是在电脑部实习的，所以公司的机房非常的大而且设备也很多很全，至于你说的那个问题，我是不会弄的，但我看到我实习的时候全公司的员工一上...[/QUOTE]
  你说的是在一个域的环境里面进行设备来限制用户的权限吧。 签于限制员工上网行为和对电脑操作的行为这二点， 我正想试试把公司所有的电脑加入一个域的环境里面，顺便请问一下，在域的环境里面，可以限制一个星型以太网内所有的电脑上网行为和只允许打开指定的程序吗？ 域的实现复不复杂？

rayli2003 发表于 2006-2-3 19:18

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

[COLOR=#000000]{路由上只开放4个ip，192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4，其他ip拒绝通信；并且用arp绑定ip；收集其它机子的mac，拒绝通信；
192.168.0.2你的，192.168.0.3经理的；192.168.0.4用来做代理；
在192.168.0.4用代理服务器，设置为只使用，ftp，和pop3就可以了，其它人通过这个代理收发邮件和ftp；}[/COLOR]
[COLOR=#000000]  [/COLOR]
[COLOR=#000000]     上面是我的一位朋友提出来的自己的意见，大家可讨论一下方法是否可行。3Q~~  :em71:

[/COLOR]

紫竹岚 发表于 2006-2-5 08:47

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

[QUOTE=rayli2003]你说的是在一个域的环境里面进行设备来限制用户的权限吧。 签于限制员工上网行为和对电脑操作的行为这二点， 我正想试试把公司所有的电脑加入一个域的环境里面，顺便请问一下，在域的环境里面，可以限制一个星型以太网内所有的电脑上网行为和只允许打开指定的程序吗？ 域的实现复不复杂？[/QUOTE]

如果你想指定运行某个程序，你可以使用强制性用户配置文件，首先新建一个用户，然后将所以应用程序的图标放到桌面上，再设置好每个应用程序的使用者权限，最后在域控制器里设置每个登录域的用户都强制使用刚才新建用户的配置文件就可以起到强制指定运行程序了，域的作用环境是不分网络拓朴结构的，只要在同一个局域网内的域就可以

aspenxiong 发表于 2006-2-6 10:15

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

朋友，用ISA就可以做到，要輸入用戶名才能上網這功能啊。

supergs 发表于 2006-2-10 14:34

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

起域吧，然后用isa等东东代理，通过域账号管理

lycb 发表于 2006-2-11 14:59

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

很简单啊，用代理服务器软件就可以了，如CCPROXY、WINGATE等。各种权限配置都可以实现。我也是在《网管员必读——超级网管经验谈》和《网管员必读——网络应用》书中学到的，“网管员必读”系列图书不错，对我帮助相当大，我全买了。
欢迎交流，qq：93220994

jack8018 发表于 2006-2-11 15:31

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

对于楼主碰到的问题是每个网管人都会碰到的问题．从事ＩＴ工作快６年，做过三家大型企业，个人管理超过３００台电脑，也曾碰到过此类问题，解决问题的方法很多，有技术解决的，利用第三方软件，或硬件，或立赏罚规则．这些是防君子不防小人之举．现在网络上突破防火墙的工具有大把．根本来说要三者结合起来才能起效果（网络管理软件或带网管的硬件防火墙/路由器+公司网络规则＋员工素质提高）.总的来说，做ＩＴ搞网管一个字"累"

车天车地 发表于 2006-2-13 13:28

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

用域管理确实挺好的，我现在是用win2000 server的域，好像没有软件运行控制的策略，在win2003中有利用哈希规则的策略来限制某个软件运行的，不知道在win2000上能否实现类似的功能？

烟圈 发表于 2006-6-16 09:57

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

好贴顶一下

coxonmis 发表于 2006-6-16 10:47

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

[QUOTE=jack8018]对于楼主碰到的问题是每个网管人都会碰到的问题．从事ＩＴ工作快６年，做过三家大型企业，个人管理超过３００台电脑，也曾碰到过此类问题，解决问题的方法很多，有技术解决的，利用第三方软件，或硬件，或立赏罚规则．这些是防君子不防小人之举．现在网络上突破防火墙的工具有大把．根本来说要三者结合起来才能起效果（网络...[/QU
其实公司建立严格的管理制度,其他软件硬件方面的限制是没什么的,象我们公司.建立了很不尽情理的规则,只要违反一次就会扣一天工资,2次就走人,所以没什么人敢跟自己的钱途作对的.还有,你最好是通过WIN2003域来实现你的管理,通过你设置不同的策略赋予各部门不同的权限

wintersoul 发表于 2006-6-16 17:23

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

我这里一般都是使用注册表来对系统进行某些功能何文件的运行限制来实现的,实行起来效果还是比较理想,但是会对自己维护造成一定的麻烦,每次要自己恢复注册表才能工作!
注册表里我最主要是禁止了:
更改用户名,添加用户名,更改用户名密码;
限制文件运行,只能运行特定的文件;
禁止修改局域网的网卡设置;
禁止显示设置(有些人乱调分辨率造成显示器不能显示),顺便连主题啊,换壁纸,使用屏幕保护都禁止了;
等这些方面的管制,
所以虽然现在公司的电脑有2百多台,但是也只有两个人做管理(主管跟me)

waokoo 发表于 2006-6-16 20:03

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

这个确实是现实的问题

yhlove 发表于 2006-6-16 20:20

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

这样的问题的确是每一名网管都能遇到的问题.
先目前我也在这个问题上烦恼..虽然某些效果实现了.但不怎么理想.
有人告诉我用访问列表的方法。我去找了一下资料.觉得比较麻烦.
用代理上网未尝不是一个很好的办法..
而且也能保证安全性.
网管!一定要把所有网络管理权限握在自己的手上..

donghj 发表于 2006-6-17 10:32

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

[QUOTE=车天车地]用域管理确实挺好的，我现在是用win2000 server的域，好像没有软件运行控制的策略，在win2003中有利用哈希规则的策略来限制某个软件运行的，不知道在win2000上能否实现类似的功能？[/QUOTE]



2000上不可以，必须是xp，或以上版本才可以设置软件策略

jay_80216 发表于 2006-6-29 14:51

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

如果ROUTE可以建立访问规则,可以在ROUTE里设置开放25,53,110这三个端口!
ROUTE不支持可以用代理,如KERIO WINROUTE,这个比较好，我建立了100多条访问规则!!!比你那情况复杂得多!!!

pear7788 发表于 2006-7-3 08:51

回复: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关

这问题。应该是问的比较多的问题。
我也来顶一下。
这主要还是看公司的管理体制。公司文化。在我们公司上班时间很少有人做与工作无关的事。每个部门都有他们的老大看着。上网权限我们通过防火墙来限的。。一般不需上网的都不要开通。
他们一定要开的让他们到经理那里申请  一般的用用户就给他们user权限好了

alue 发表于 2007-2-8 08:44

一，给USER权限，限制程序安装；
二，装个上网代理软件，只能通过代理才能上网，并限制二级代理；
三，用域，偶也在探讨中，因为这搞起来有点难度；:lol

tianxp 发表于 2007-2-8 10:19

通过域账号管理

查看完整版本: 征集有关企业局域网内如何禁止员工上网和在电脑上打开与工作无关