#原创分享#禁止未审批用户上网的配置

客户要求：

1.内部员工办公电脑使用固定IP上网，员工上网需要经过审批才能放开上网权限

2.内部员工IP与电脑MAC地址做MAC地址绑定，防止未经审批的员工，通过修改IP上网

3.防止未审批员工通过内部代理方式上网

相关配置：

1.新建两个用户组，一个审批组（可以上网），一个未审批组（禁止上网）；

2.新增一条禁止上网的上网权限策略，并下发到未审批组；

3.新增一条用户认证策略，使新入网IP自动录入到未审批组，并启用自动绑定信息；

4.启用共享接入管理；

上网审批操作：

通过手动操作，经过审批的用户，将其从“未审批组”移动到“审批组”即可上网；

本次用到的知识点：

在AC上，一个用户名不能同时属于两个用户组

1.当审批过的IP已经移动到“审批组”里面，所以即使IP下线后再上线，也不会再划分到“未审批组”里面。

2.用户名冲突还会影响到AD域的LDAP认证等第三方上网认证，当部分AD域用户名与现有AC上的用户名有冲突，导致AD域用户没有划分到对应的用户组上，出现上网权限不匹配的情况，这时候就需要在AC上删除有冲突的用户名，并重新同步AD域用户。

谢谢分享

您好，感谢您参与社区原创分享计划7，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，奖励将在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

对公司的用户的上网行为管理很有必要

大概看懂了。就是说审批通过的，需要手动将其从“未审批组”移动到“审批组”。这个增加了工作啊

习感谢分享

说的很棒@！

对公司的用户的上网行为管理很有必要，我喜欢批量移动到其他用户组，在MAC地址没有变动的情况下不需要再操作

这个方式很多客户在用，默认是不让上互联网的，在经过管理员审核之后 再放通上互联网权限

很实用的应用场景，图文并茂可以说是很用心了！！学习了