Введение
Вы создали группу пользователей и стандартного пользователя в Windows 11 Home и хотите ограничить доступ в интернет по «белому списку» для участников этой группы. Вы уже настроили whitelist в LAN-настройках и изменили некоторые параметры через Local Group Policy Editor, но остались вопросы — как применить эти ограничения именно к созданной группе.
Что вы уже сделали
Вы создали whitelist в LAN-настройках и в «Local Group Policy Editor» (gpedit.msc) в разделе User Config → Administrative Templates → Windows Components → Internet Explorer установили:
- Disable Changing Automatic Configuration Settings — Enabled;
- Prevent Changing Proxy Settings — Enabled.
Дальнейшие инструкции, которые вы находили, относятся к Windows Server, поэтому возникает вопрос: как применить эти ограничения к конкретной группе в Windows 11 Home?
Как работает Local Group Policy Editor (gpedit.msc)
Local Group Policy Editor напрямую применяет политики к системе: секция User Config применяется к тому пользователю, от имени которого вы запускали gpedit.msc. То есть изменения по умолчанию затрагивают текущую учётную запись.
В Windows 11 Home gpedit.msc обычно недоступен — он встроен в Pro и Enterprise. Если у вас он запускается, то вы редактируете локальные политики для текущего пользователя, а не для других пользователей или групп.
Как применить политику к другому пользователю (mmc.exe)
Чтобы перенаправить применение политики на другого пользователя, нужно запустить mmc.exe и добавить оснастку «Group Policy Object Editor». В меню File → Add Snap-ins выберите соответствующую оснастку и через «Browse» укажите нужный объект (пользователя).
Этот способ позволяет открыть редактор локальной групповой политики для другого пользовательского объекта, а не только для текущей сессии. Однако в Home-редакциях есть ограничения на применение некоторых пользовательских политик.
Ограничения: прокси-настройки и WinHTTP
Настройки в разделе Internet Explorer действуют только на WinHTTP (системный стек HTTP). Другие браузеры и программы, которые не используют Internet Explorer/WinHTTP, могут игнорировать системные proxy settings и обходить заданные ограничения.
Это означает, что даже при блокировке изменения proxy через gpedit.msc отдельные приложения (например, сторонние браузеры) могут продолжать выходить в интернет напрямую.
Доступность gpedit.msc в Windows 11 Home и альтернатива PolicyPlus
По умолчанию gpedit.msc отсутствует в Home-изданиях Windows; он доступен в Pro и Enterprise. В качестве альтернативы существует PolicyPlus (разработчик Ben N!), которая даёт поддержку редактирования локальных политик в Home-редакциях.
В документации PolicyPlus указано, что при сохранении пользовательских политик симуляция обновления из локального GPO в реестр выполняется только для текущего пользователя. Для изменения политики другого пользователя потребуется напрямую редактировать реестр, открыв «user hive» или «local Registry» источник.
Почему нельзя применить политику к security group без домена
Нельзя напрямую применить локальные GPO к security group — группам безопасности. Organizational Units (OU) — не то же самое, что security groups. OU существуют в Active Directory и позволяют привязывать GPO к организационным единицам, но вне домена OU как концепция отсутствует.
Следовательно, без подключения к домену вы не сможете применять GPO по OU или легко привязывать их к security group. Возможно частично помочь можно, изменив шаблонную hive до создания пользователей, но это не гарантирует универсальное решение.
Рекомендуемый правильный подход к ограничению доступа в интернет
Более надёжная схема ограничения доступа по белому списку обычно состоит из трёх шагов:
- Блокировать общий доступ в интернет через firewall, лучше внешний по отношению к контролируемому устройству;
- Настроить фильтрующий proxy (тоже желательно внешний для надёжности);
- Разрешить контролируемому устройству доступ только к этому фильтрующему proxy.
Такая архитектура предотвращает обход proxy отдельными приложениями, поскольку устройство не имеет доступа в интернет кроме как через фильтрующий proxy. Варианты реализации включают родительский контроль на устройстве, коммерческие корпоративные решения и открытые решения типа Squid.
Если задача связана с родительским контролем, стоит рассмотреть встроенные средства Edge и Chrome, но они могут быть недостаточно надёжны против умелого пользователя, поэтому внешнее решение остаётся предпочтительным.
Краткие выводы
В Windows 11 Home локальные политики, управляемые через gpedit.msc, по умолчанию применяются к текущему пользователю. Чтобы нацелить политику на другого пользователя, используйте mmc.exe → Add Snap-ins → Group Policy Object Editor и выберите нужного пользователя.
Однако настройки Internet Explorer влияют только на WinHTTP, а gpedit.msc в Home ограничен. Альтернатива PolicyPlus требует прямых изменений user hive/реестра для других пользователей. Самый надёжный способ внедрить whitelist — блокировать интернет через firewall и пропускать трафик только через внешний фильтрующий proxy.
