你可以用IP來控制,如10.1.1.0~10.1.1.31給前30台PC使用(固定IP),其餘PC則為變動IP.在防火牆上再設定一條規則,只允許這屬於這群IP(可設定成網路物件)的PC可連上INTERNET.便可解決你的問題.

似乎沒什麼用. 不管什麼policy,只要大陸的IT人員有權限.怎麼改都可以吧.

可以在連外的那台router的上鎖MAC ADDRESS,
只有那台router裏有紀錄的MAC ADDRESS才可上網.
而那台router的密碼不能流出,
因此大陸那裏的IT人員沒有設定上網功能的權限.

其實坊間有許多管理PC端的軟體,可以控制軟硬體,我想直接封鎖其IE比較快吧!且又可以做到PC管理,何樂而不為!

與其說2組網路中間不能有東西串接，或要防當地的IT怎樣的
倒不如配合行政命令與一個較完善的網路架構做集中控管，會比較好也說不定
例如要做任何的變動，必須經總公司同意才可進行更動
若發現違規，則依照規定議處等等...

至於網路架構，A組可用VPN連回總公司做集中控管，2組網路用ROUTER分開
B組郵件收發的問題，可切割成VLAN，單獨指向郵件收發的相關IP即可
再者大陸的IT只需做簡單的維護與流量控管等相關工作
定期向總部回報可做為評估與規劃的考量
不該給的權限不要給，例如網路架構的規劃
也要保留未來的延展性，如增設分公司/工廠
集中控管的重要性則更高了，否則整個IT控管機制都會亂掉的
甚至比不上各地獨立控管

集中控管的好處應該無須多說吧!
工作內容的分配、權限與行政命令，是IT人員的保護傘