当然可以实现！我之前帮朋友处理过几乎一模一样的需求，Windows 11的账户级网络权限控制完全能满足你的要求，下面给你两种亲测有效的方案，还有额外的替代思路：

方案一：通过Windows Defender防火墙高级规则实现账户级网络限制 #

这是最精准的方法，能严格控制指定账户的网络访问：

• 先确认你已经创建好两个目标账户：日常本地登录的受限账户（比如命名为Local_User）、专门用于SSH管理的权限账户（比如SSH_Admin）
• 打开「Windows Defender防火墙」，点击左侧的高级设置进入规则配置界面
• 创建出站阻止规则（限制本地账户的网络访问）：
  1. 右键「出站规则」→「新建规则」，规则类型选自定义，点击下一步
  2. 程序选择所有程序，下一步
  3. 协议和端口保持默认设置，下一步
  4. 远程IP地址选任何IP地址，下一步
  5. 动作选择阻止连接，下一步
  6. 配置文件勾选「域」「专用」「公网」（确保所有网络环境都生效），下一步
  7. 给规则命名（比如Block_LocalUser_Network），然后点击窗口底部的自定义按钮，切换到「用户和计算机」选项卡，添加你要限制的Local_User账户，确认后完成规则创建
• 确保SSH账户的网络权限不受限：
  1. 可以给SSH_Admin单独创建一条允许所有网络连接的出站规则（步骤和上面类似，动作选「允许连接」，指定用户为SSH_Admin）
  2. 同时检查入站规则里的「OpenSSH SSH Server」规则是否处于启用状态（默认是启用的，若没开手动启用即可，保证远程SSH能正常连接）

方案二：通过网络连接的共享权限设置限制账户访问 #

这种方法更直观，适合对防火墙规则不太熟悉的用户：

• 右键任务栏的WiFi图标，打开「网络和Internet设置」→「高级网络设置」
• 找到当前正在使用的WiFi（或有线）连接，点击「查看额外属性」
• 下滑到「安全」区域，点击高级共享设置，找到「所有网络」下的「网络访问权限」，点击「更改共享权限」
• 在弹出的权限窗口中：
  • 添加你的本地受限账户Local_User，将它的权限设置为拒绝
  • 添加SSH管理账户SSH_Admin，将它的权限设置为允许
• 注意：如果同时使用WiFi和有线网络，需要对每个网络连接都重复上述设置

额外替代思路 #

如果觉得账户级配置太繁琐，也可以结合快速用户切换+脚本自动控制网络，但这种方法需要一点脚本基础：

• 编写两个简单的PowerShell脚本：一个关闭网络适配器，一个开启网络适配器
• 给本地受限账户设置登录脚本（关闭网络），给SSH账户设置登录脚本（开启网络）
• 不过这种方法的局限性是：当两个账户同时处于登录状态时，网络状态是全局的，可能会出现冲突，所以还是更推荐前面两种方案

另外看到你补充说明「无网络权限的账户始终处于登录状态」，上面的两种核心方案完全能满足这个要求——防火墙规则和网络权限是绑定到账户会话的，不管该账户是否处于活跃前台状态，只要会话存在，限制规则就会生效。

备注：内容来源于stack exchange，提问作者tria