Windows Server 2008r2ドメインでFacebookまたは任意のWebサイトをブロックするグループポリシーを作成する方法

アウトバウンドプロキシ（Threat Management Gateway、Squidなど）を設定し、グループポリシーを使用して、Internet Explorerがインラインでない場合は、このプロキシを介してすべてのトラフィックを通過させる必要があります。プロキシをインラインにすると、明らかに、IEの設定に関係なく、すべてのトラフィックがプロキシを通過するため、GPOは無意味になります。

GPOは、適切なサイトがブロックされたネットワーク共有でhostsファイルを作成し、グループポリシーの基本設定ファイルの更新設定を使用してコンピューターにプッシュするなどの厄介な作業を行わないと、これをネイティブに実行できません。時間をかけてプロキシを設定し、正しい方法で実行してください。

グループポリシーを使用してこれを実現するための標準的な方法は組み込まれていません。

コンピューターポリシーの場合、考えられる方法の1つは、hostsファイルを使用することです。ブロックする名前を含むカスタムhostsファイルを作成し、グループポリシーの基本設定機能を使用してファイルをコピーして展開できます。 （[コンピューターの構成]> [設定]> [Windowsの設定]> [ファイル]）。

このアプローチでは、すべてのシナリオで必要な粒度が提供されるとは限らず、hostsファイルでtldをブロックすることはできず、特定の名前のみをブロックできることに注意してください。また、hostsファイルが他の既存の名前に使用されている場合も適切でない場合があります。典型的なエントリは次のとおりです。

127.0.0.1 localhost facebook.com www.facebook.com  

一部のドメインは、多数のホスト名と異なるfqdnが必要なため、ブロックが困難です。

ファイルソースには、次のように指定できます。

\\domain.com\SysVol\domain.com\Policies\{GPO guid}\Machine\Preferences\Files 

また、変更したhostsファイルを必ずその場所にコピーしてください。

ファイルの宛先は次のようになります：％systemroot％\ system32\drivers\etc\hosts

「アクション」は「置換」になります。

通常のグループポリシーの更新がこのGPOに適用されることに注意してください。テストでは、ファイルが通常の間隔（デフォルトでは、コンピューターのgpoの場合は90分）で再コピーされることが確認されています。