Компьютерный форум NoWa.cc
Правила Форума
редакция от 29.01.2013
Портал .::2Baksa.Net::. Трекер BRODIM.COM
Вернуться   Компьютерный форум NoWa.cc > Операционные системы > Microsoft Windows > Windows 200x Server

Уважаемые пользователи nowa.cc и 2baksa.net. У нас сложилось тяжелое финансовое положение. Мы работаем для вас вот уже более 14 лет
и теперь вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney Z826074280762 Webmoney R087294265364 Webmoney U051530505194 Webmoney E804621616710
PayPal E-mail для связи / to Contact E-mail для связи по вопросу помощи / to Contact : E-mail для связи / to Contact
Кошелек для вашей помощи Yandex 410013204813773
Yandex Спасибо за поддержку!

Российский интернет-шлюз: контроль трафика, DLP, антивирус, fail2ban, прокси-сервер, шифрование данных, https-фильтрация. Сертификат ФСТЭК

загрузка...
Ответ
 
Опции темы Language
Старый 08.04.2010, 14:01   #31
maxfn
Новичок
 
Пол:Мужской
Регистрация: 26.03.2010
Сообщений: 25
Репутация: 5
По умолчанию Re: Разграничение доступа в интернет средствами AD

Что бы там не получилось через АД - если ты не дашь кому-то таким образом инет - то если эта учетка будет с правами админа на локалке - ничего не помешает этому человеку узнать адрес шлюза и самому вбить шлюз и получить доступ к инету. Ну а если таких учеток нет и никто левый к сети не подцепится - то можно и через DHCP дальше копать.
maxfn вне форума
 
Ответить с цитированием Вверх
Надежный китайский посредник Taobao.com


Реклама: аренда стойка акустическаязеркало в комнату настенноедиваны-качалки для дачимост портальный редукторный купитькупить ao sept плюс 360 ml москва


Старый 08.04.2010, 14:16   #32
Alexei_T
Неактивный пользователь
 
Пол:Мужской
Регистрация: 24.04.2009
Сообщений: 90
Репутация: 2
По умолчанию Re: Разграничение доступа в интернет средствами AD

Цитата:
Сообщение от maxfn Посмотреть сообщение
Что бы там не получилось через АД - если ты не дашь кому-то таким образом инет - то если эта учетка будет с правами админа на локалке - ничего не помешает этому человеку узнать адрес шлюза и самому вбить шлюз и получить доступ к инету. Ну а если таких учеток нет и никто левый к сети не подцепится - то можно и через DHCP дальше копать.

Естественно,
но пользователям не будут даваться админские права, поэтому они сами не смогут поменять параметры сетевого подключения
Alexei_T вне форума
 
Ответить с цитированием Вверх
Старый 05.05.2010, 14:52   #33
niko77
Неактивный пользователь
 
Регистрация: 19.01.2010
Сообщений: 19
Репутация: 2
По умолчанию Re: Разграничение доступа в интернет средствами AD

вообще то через групповые политики в настройках IE указываем пользователям (которых отрезаем от инета) несуществующий прокси. далее в безопасности закрываем вкладку подключение, дабы пользователи не сносили настройки прокси. ну и боремся тогда со сторонними браузерами
niko77 вне форума
 
Ответить с цитированием Вверх
Старый 05.05.2010, 15:03   #34
Alexei_T
Неактивный пользователь
 
Пол:Мужской
Регистрация: 24.04.2009
Сообщений: 90
Репутация: 2
По умолчанию Re: Разграничение доступа в интернет средствами AD

Кстати, спасибо - хорошая мысль, можно попробовать,
а сторонние браузеры они итак не поставят, т.к. нет прав,
но ведь кроме браузеров, можно выйти в инет и другими способами, через аську например и т.д.
Alexei_T вне форума
 
Ответить с цитированием Вверх
Старый 11.05.2010, 14:26   #35
Alan2006
Постоялец
 
Пол:Мужской
Регистрация: 02.07.2009
Сообщений: 393
Репутация: 79
По умолчанию Re: Разграничение доступа в интернет средствами AD

Цитата:
Сообщение от niko77 Посмотреть сообщение
вообще то через групповые политики в настройках IE указываем пользователям (которых отрезаем от инета) несуществующий прокси. далее в безопасности закрываем вкладку подключение, дабы пользователи не сносили настройки прокси. ну и боремся тогда со сторонними браузерами

Цитата:
Сообщение от Alexei_T Посмотреть сообщение
а сторонние браузеры они итак не поставят, т.к. нет прав,

ога... а из дома принести портебл мозиллу к примеру никак...
__________________
Каждый человек, которому вы ответили на форуме "гугл в помощь" - потенциальный "возвращенец" в винды. (ц)
Alan2006 вне форума
 
Ответить с цитированием Вверх
Старый 12.05.2010, 10:37   #36
MadProf
Постоялец
 
Аватар для MadProf
 
Пол:Мужской
Регистрация: 12.06.2008
Сообщений: 227
Репутация: 109
По умолчанию Re: Разграничение доступа в интернет средствами AD

Цитата:
Сообщение от Alan2006 Посмотреть сообщение
ога... а из дома принести портебл мозиллу к примеру никак...

Принести то можно... а слить на машину как? Я надеюсь, юсб-сторидж и прочие сидиромы отключены безопасности для?
MadProf вне форума
 
Ответить с цитированием Вверх
Старый 14.05.2010, 13:04   #37
dmitry_a
Постоялец
 
Пол:Мужской
Регистрация: 11.04.2007
Сообщений: 284
Репутация: 85
По умолчанию Re: Разграничение доступа в интернет средствами AD

Честно не стал дочитывать предложения коллег, но могу предложить следующее действие
1. в DHCP создать классы, 1) с прописанным шлюзом, 2) с пустым
2. в групповой политике сделать дополнительные OU с интернетом и без
3. на групповую политику с интернетом и без поставить logon script который присваивает сетевой карте тот или иной класс например "ipconfig /setclassid LAN inet " "ipconfig /setclassid LAN lan "

в результате получим требуемое разграничение без особого извращения, так-как одна группа машин будет получать шлюз от dhcp сервера, а другая нет.
(политику разумеется применять к машинам)

Последний раз редактировалось dmitry_a; 14.05.2010 в 13:49..
dmitry_a вне форума
 
Ответить с цитированием Вверх
Старый 14.05.2010, 13:08   #38
MadProf
Постоялец
 
Аватар для MadProf
 
Пол:Мужской
Регистрация: 12.06.2008
Сообщений: 227
Репутация: 109
По умолчанию Re: Разграничение доступа в интернет средствами AD

Цитата:
Сообщение от dmitry_a Посмотреть сообщение
1. в DHCP создать классы, 1) с прописанным шлюзом, 2) с пустым

С этого момента если можно - подробнее.
Операционка предполагается - Server 2003 / 2008 / 2008R2 ?
MadProf вне форума
 
Ответить с цитированием Вверх
Старый 14.05.2010, 13:22   #39
dmitry_a
Постоялец
 
Пол:Мужской
Регистрация: 11.04.2007
Сообщений: 284
Репутация: 85
По умолчанию Re: Разграничение доступа в интернет средствами AD

с сайта микрософта, это работает во всех dhcp начиная с win 2000. есть небольшие отличия, но вообщем этот механизм присутствует везде.

Vendor-defined classes are used for managing DHCP options assigned to clients identified by vendor type.

User-defined classes are used for managing DHCP options assigned to clients identified by a common need for a similar DHCP options configuration.

After defining an option class, individual scopes must be configured with any class-related options to be provided to clients.
Create a New User or Vendor Option Class

1. Start DHCP Manager.
2. In the console tree, click the applicable DHCP server branch.
3. Right-click the server, and then click Define User Classes to create a new user class, or click Define Vendor Classes to create a new vendor class.
4. Click Add.
5. In the New Class dialog box, type a descriptive identifying name for the new option in the Display name box. You may also add additional information to the Description box.
6. Type in the data to be used by the DHCP Server service for matching the class ID provided by DHCP clients under ID or ASCII. To enter the data as hexadecimal byte numeric values, click the left side of the text box. To enter data as American Standard Code for Information Interchange (ASCII) text character values, click the right side of the text box.
7. Click OK, and then click Close.

Configure a DHCP Scope with the New Class ID

1. In DHCP Manager, double-click the appropriate DHCP scope.
2. Right-click Scope Options and then click Configure Options.
3. Click Advanced.
4. Click to select the check box or boxes next to the features you want to use with the new vendor or user class.
5. Click OK.

To Set the Specified DHCP Class ID String for Client Computers
Client computers that connect to a Windows 2000-based DHCP server can use the following command to set the specified DHCP class ID string:
ipconfig /setclassid adapter_name class_id
For example, to configure an adapter called "Local Area Connection" with a user class ID called "myuserclass", type ipconfig /setclassid Local Area Connection myuserclass at a command prompt, and then press ENTER.

This identifies the "Local Area Connection" interface to receive the DHCP options configured for "myuserclass" on the DHCP server.

NOTE: Class IDs in ASCII are case sensitive, and must match the class identifying data entered in the Edit Class dialog box used to create the new user or vendor option class.
dmitry_a вне форума
 
Ответить с цитированием Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
Старый 14.05.2010, 13:28   #40
MadProf
Постоялец
 
Аватар для MadProf
 
Пол:Мужской
Регистрация: 12.06.2008
Сообщений: 227
Репутация: 109
По умолчанию Re: Разграничение доступа в интернет средствами AD

Век живи - век учись!
MadProf вне форума
 
Ответить с цитированием Вверх
Старый 14.05.2010, 18:27   #41
Badsky
Неактивный пользователь
 
Пол:Мужской
Регистрация: 27.02.2008
Сообщений: 4
Репутация: 0
По умолчанию Re: Разграничение доступа в интернет средствами AD

У меня везде сделано проще: в AD создана группа, допустим HTTP и в неё добавлены пользователи, которым даётся доступ в сеть через браузер. Потом в ИСЕ создаю правило что всем пользователям из группы HTTP давать доступ туда-то и туда-то.
Точно так же с другими протоколами, типа аськи, почты и т.д.
Badsky вне форума
 
Ответить с цитированием Вверх
Старый 17.05.2010, 10:41   #42
MadProf
Постоялец
 
Аватар для MadProf
 
Пол:Мужской
Регистрация: 12.06.2008
Сообщений: 227
Репутация: 109
По умолчанию Re: Разграничение доступа в интернет средствами AD

Цитата:
Сообщение от Badsky Посмотреть сообщение
У меня везде сделано проще: в AD создана группа, допустим HTTP и в неё добавлены пользователи, которым даётся доступ в сеть через браузер. Потом в ИСЕ создаю правило что всем пользователям из группы HTTP давать доступ туда-то и туда-то.

AD-авторизация - это гуд, но не весь софт ее поддерживает, особенно всяческие клиент-банки и прочие самописные софтины. Потому и делимся тут опытом
MadProf вне форума
 
Ответить с цитированием Вверх
Старый 17.05.2010, 11:11   #43
Badsky
Неактивный пользователь
 
Пол:Мужской
Регистрация: 27.02.2008
Сообщений: 4
Репутация: 0
По умолчанию Re: Разграничение доступа в интернет средствами AD

Ну вообщем-то инет по умолчанию раздаёт сервер под виндой, а это Forefront или ISA,- соответственно проблем быть не должно
Badsky вне форума
 
Ответить с цитированием Вверх
Старый 17.05.2010, 11:16   #44
MadProf
Постоялец
 
Аватар для MadProf
 
Пол:Мужской
Регистрация: 12.06.2008
Сообщений: 227
Репутация: 109
По умолчанию Re: Разграничение доступа в интернет средствами AD

Цитата:
Сообщение от Badsky Посмотреть сообщение
Ну вообщем-то инет по умолчанию раздаёт сервер под виндой, а это Forefront или ISA,- соответственно проблем быть не должно

Не должно для софта, написанного с учетом работы через прокси с АД-авторизацией. Те клиент-банки, с которыми я работал, этого не умели.

Как вариант - их натить, тут как раз схема с двумя областями в ДХЦП очень хороша.
MadProf вне форума
 
Ответить с цитированием Вверх
Старый 17.05.2010, 13:05   #45
PLAstic
ViP
 
Пол:Мужской
Регистрация: 18.01.2006
Адрес: MSK RU
Сообщений: 2,837
Репутация: 1164
По умолчанию Re: Разграничение доступа в интернет средствами AD

Коллеги, с исой проблем никогда и не было. Топикстартеру интересно "средствами винды".
PLAstic вне форума
 
Ответить с цитированием Вверх
Ответ
 Уважаемые пользователи портала 2BakSa.NeT и форума NoWa.cc !

  Рады Вам сообщить, что у нас открылся Torrent трекер >> BRODIM.COM

  Приглашаем вас принять участие в обмене полезной информацией,

  и ждем от вас поддержки в создании новых раздач.

Опции темы

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Ускорители спутникового доступа в интернет ANGEL OF FIRE Настройка интернета 62 02.08.2011 12:30
Пример настройки DFL-210 для доступа в интернет boralexe Локальные сети и их комплектующие 1 28.12.2009 22:10
Проблемы с настройкой доступа в Интернет через шлюз. DrakuLA_Vlad Скорая помощь 3 12.11.2008 11:08
Ограничение доступа интернет в режиме гость DefendeR_M Windows XP 7 28.01.2008 18:12
разграничение доступа в инет kartoha Безопасность 17 02.07.2007 09:24

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 07:42. Часовой пояс GMT +3.


Rambler's Top100
Copyright ©2004 - 2018 2Baksa.Net

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.18564 секунды с 13 запросами