阻止特定用户的Facebook

我们这里有一些用户在工作时间使用Facebook，他们的生产率是固定的，作为一项临时措施，我已远程编辑了他们的主机文件，以指向facebook.com及其各个子域，以指向回送地址，然后手动进行。在午餐时间发表评论，以便他们可以使用它。

每天对于许多用户而言，这样做显然很累。

我正在尝试寻找可以按计划自动执行此阻止的操作。

我在考虑某种代理服务器，可以通过组策略将其添加到浏览器的代理设置中。

有人知道有免费的或便宜的Windows软件解决方案吗？也许我可以在PC / VM上安装一些独立的软件？

我想我总是可以编写和计划一些批处理文件，以将被阻止的主机文件与未阻止的文件切换。

网络是Windows 2003 SBS服务器，Windows XP sp3工作站，服务器Netgear DG834路由器上的单个接口，尽管它确实有一些调度，但它不允许只设置一个窗口作为单个块窗口，例如9-5pm，但是我想要在中间打开它。

如果你现在正在做正确的工作，但问题是它采取你的时间太多，则计划任务是你的朋友:)

将网络上的两个版本的hosts文件弹出到某个位置（启用/禁用FB），然后设置由GPO推出的计划任务。

在午餐时间（例如11:30），它会复制“ FB Enabled” hosts文件，然后在午餐后（例如13:30），它会复制“ FB Disabled” hosts文件。

价格：$免费
难度：容易
效果：良好的
管理开销：中

_{根据记录，squillman的答案是我希望作为系统管理员的答案，但是我们都知道，这不是它在现实生活中的工作方式}

作为曾经负责代理，防火墙和Web过滤器的人，我非常同意@DanBig的评论，并敦促您礼貌地告诉管理层“我不在乎”并让他们处理。保姆是管理/人事问题，不应任职于IT部门。如果您的资源争夺到某个人的Facebook活动导致网络性能问题的程度，并且您还没有合适的过滤软件，请阻止其交换机端口或其他东西，并让管理人员参与进来。然后与管理层/ HR合作制定可接受的使用策略，其中还可能包括代理/网络过滤器，以帮助实施所述策略。IT可以帮助定义策略，但是HR应该是策略的所有者。

如果/当他们开始陷入困境时，您不希望与心怀不满的[前任]员工陷入法律纠纷或其他冲突。从旺盛的Facebook使用到互联网的其他可疑使用，这并不是什么长时间的下降。

另一个替代方法是阻止Facebook等人从9到5的人的工作机中阻止，但在公共区域设置“网吧”，使他们可以在午餐时间访问互联网进行个人浏览。

这些机器可能在一天中的大部分时间都处于锁定状态，但仅在上午11点至下午2点开放。

由于这些机器实际上是“公共”的，因此人们必须在完成后学习注销。

这也将有助于清楚地描述互联网的私人用途和工作用途。

哇，那绝对是困难的方法。

有许多Web过滤解决方案可以满足您的需求。Squidguard可能是流行/简单的选择，但是不乏免费/便宜的选择（以及价格昂贵的选择）；Untangle，DansGuardian，一些像Astaro这样的统一威胁管理设备的免费版本就可以解决问题。

我在这里最同意这一点，即这是一个管理问题，在理想情况下，它将以新的政策结束。但是，在我们所生活的世界中，除了政策外，还需要执法部门。

其他人提到了您可以购买的一些软件包。我认为您所做的一切都很好-您需要的是一种自动化的方法。我认为一个简单的Powershell和一对预定的任务就可以了。

我们在公共区域中拥有3台可打开Internet接入的机器，并通过OpenDNS禁止访问可疑站点，并与网络的其余部分分开。生产车间的其余部分无法访问互联网。为拥有50多个用户的网站提供了不错的服务，但是我们的业务并不十分依赖网络访问。

我的工作场所也有类似情况。我们通过将问题用户全部置于同一子域上并通过防火墙阻止该子域访问Facebook等来解决了该问题。如果您的防火墙不接受主机名，将需要与更改DNS记录相关的一些维护，但是与您当前的解决方案相比，这似乎是可以接受的解决方案。

您还可以根据防火墙软件启用基于时间的限制。

最简单的方法是在具有2个网卡的PC上安装Ubuntu，配置iptables + Squid + Dansguardian并通过IP阻止用户。代理将是透明的，无需配置用户的浏览器。在Dansguardian中，您将能够创建用户组并为每个用户组分配不同的规则集。Dansguardian支持计划。

除了阻止外，我建议您实施报告。报告非常重要：当人们知道自己要负责时，他们就要承担更大的责任。我们使用了SARG，该SARG在本地网站上发布了每日报告，因此所有人（包括管理层）都可以查看统计信息。

我更喜欢协议而不是政策和向管理层报告。因此，我们同意在午餐时间和下班时间之后都可以使用社交网络，这足以满足98％的员工需求。

* 最简单的原因是：

• 所有需要的资源都是旧PC，网卡为15美元-无需预算。
• 提到的所有软件包都可以从Ubuntu存储库中获得，无需重新编译任何东西：自定义是次要的，有许多可用的手册和文章；
• 解决方案是集中的；
• 即使PC不属于您的广告，规则也适用于网络上的所有计算机；
• 这个过渡期足以成为永久解决方案，因此不会浪费任何精力...

我与alexm所写的内容大致相同，但处理方式略有不同。我建议您使用一种非常易于使用的防火墙发行版，而不是从头开始构建系统。我个人更喜欢Smoothwall，但还有许多其他选择。除了为您提供比当前更大的过滤灵活性之外，您还将获得拥有像样的网关防火墙的好处。

大多数防火墙发行版都具有很好的社区支持，因此很可能有人已经创建了适合您的加载项。否则，虽然您需要的设置可能无法在常规管理控制台中使用，但可以通过squid和cron轻松实现。只需编写很少的脚本，您就可以根据需要获得尽可能多的粒度和控制。

看一看FortiGate防火墙。它们具有应用程序级别阻止。