ですから、これは不可能かもしれませんが、私はそれについて何かを見つけるように頼まれました。これまでのところ、私が見つけたものは何もありません。
特定のマシンまたはユーザーアカウントを通常のインターネットアクセスから制限する必要がありますが、それらにネットワークのイントラネット部分へのアクセスを許可します。私はActiveDirectoryを管理しておらず、地元の職場には誰もいません(別の州の企業管理)。ローカルマシンごとにIPsecを実行してみましたが、これらのマシンにインストールされているイメージからそのシステムが削除されているようです。
これまでのところ、私が考えることができる他の唯一のオプションは、マシンに特定のIPアドレスを割り当て、ゲートウェイアクセスを削除することです。これはおそらく機能しますが、マシンはePOおよびLanDeskを介してプッシュされている更新を受信できる必要があります。
マシンに対して技術的な作業を行う必要があり、インターネットアクセスが必要な場合はアクセスできますが、「特別な」ユーザーはログインして何にもアクセスできないため、ユーザーレベルでこれを実行したいと思います。
私はそれをどうやってやるのかを知りました。 InternetExplorerのコンテンツアドバイザー用に特別なnoaccess.ratファイルを作成しました。アクセスする必要のあるアドレスだけを追加しました。問題が解決しました。
外部ファイアウォール/ルーターがおそらく最も安全です。壁に囲まれた庭/キャプティブポータル(wifiホットスポットにログインしたときに表示されるポータルとよく似ています)を設定して、更新サービスへのアクセスを許可できますが、スーパーユーザーのパスワードを入力しない限り、他には何も許可されません。