Здравствуйте!
Хотел узнать, как разграничить права доступа в инет определенным пользователям, т.е. раздавать инет не всем.
Причем, не используя всякие прокси, ИСА и т.д., только средствами AD. Возможно ли это?
Собираюсь реализовать так: в AD сделаю пересылку инетовских ДНС (которые вбиты на роутере), соответственно станции в домене получат еще и эти ДНС, помимо локального, и шлюз по умолчанию.
Но получат ВСЕ.
Подскажите, как дать инет только нужным пользователям, и вообще, правильно ли я собираюсь сделать с пересылкой ДНС?
Раньше просто тупо вбивал шлюз на нужных станциях кому надо, но если машин много, то особо не набегаешься.

Уточню: всякие прокси, и различные тормозящие программы - НЕ НУЖНЫ, считать и резать ничего не надо,
Задача: дать инет только определенным пользователям, т.е. чтобы те кому не надо не видели шлюз в инет,
и используя штатные средства или политики AD

Вариант 1. Как вариант разбить пользователей на группы "со шлюзом" и "без". Но это глупость. Да и ты сам его отклонил.
Вариант 2. На шлюзе запретить нужные маки. То есть любой может его поменять на нужный и выйти в инет. Хотя если у тебя шлюз не "железный", а из компа с осью - то возможно там и авторизация от АД

Читай про DHCP. Привязывай нужные маки к одному скопу, а другие к другому. У одних указывай DNS и шлюз, у других - нет. Но всё равно без прокси это сродни "выкопай яму без использования лопаты".

К макам привязываться не хотелось бы, вдруг допустим комп меняется или плата. - слишком громоздко - смысла нет,
Я хотел бы сделать это чисто с учетками AD.
Шлюз - железный.
Ну а в прокси вообще не вижу смысла - планируется быстрый безлимитный канал, и лишние тормоза не нужны, мы же уже не на диал-апе работаем,
поэтому мне не надо ничё считать и ограничивать трафик и т.д. Нужно просто тупо - одним дать инет, другим не давать.
Думаю один вариант - определить таких юзеров в отдельную группу (с запретом инета), и чтобы при запуске выполнялся скрипт или bat-файл - через политики, в котором отключается шлюз (но только как это сработает, не знаю, т.к. AD автоматом будет им все присылать при входе все параметры, да и наверно не только при входе - т.е. если я зарублю шлюз то через некоторое время он может опять появиться).
Или же наоборот - определить группу, которой нужен инет, и им прописывать шлюз в политиках, при входе. Но тогда можно отключить пересылку ДНС в АД.
Не знаю, нормально ли это будет.
Есть еще какие-то способы? Может кто-то сталкивался.
Уж очень не хочется ставить ИСА, трафик инспектор, и подобную хренотень

Добавлено через 4 минуты
Как сказал axlwor, разбить на группы - в принципе не глупость,
я такой вариант не отклонял, а раньше просто прописывал шлюзы вручную на компах

Ну а в прокси вообще не вижу смысла - планируется быстрый безлимитный канал, и лишние тормоза не нужны, мы же уже не на диал-апе работаем,
:shock: а слово кэширующий ни о чём не говорит???
squid.opennet.ru (http://squid.opennet.ru/)
squid-cache.org (http://www.squid-cache.org/)
P.S. есть сборки под win

что там кэшировать, чтоб странички быстрее открывались? широкая полоса - этого достаточно для всех,
squid это же прокси - а он мне не нужен, зачем лишний мусор при безлимитке,
Повторюсь - мне надо тупо одним пользователям АД дать инет, а другим нет, зачем его еще кэшировать

сколько у тебя юзверей?
у меня около 400
полоса 3гб/с
намана прокся работает =)
на роутере(switch) накручивай vlan
P.S. роутери или аппаратные-програмные фаерволы это делают по умоланию

юзеров около 200, полоса 4, будет больше,
насколько мы все знаем - роутер и switch - это абсолютно разные вещи, и vlan считаю делать не целесообразно в сетях группы С, коммутаторы итак справляются, а доступ, права и политики - всем этим управляет АД,
так зачем ставить какие-то прокси, если из всего того говна, что в них понапихано, можно будет использовать только разграничение доступа к инету, а остальные функции будут не нужны,
вообще - прокси уже становится пережитком прошлого, и я считаю, что по возможности от него надо избавляться,
были времена жадных провайдеров, параноидальных начальников (которым надо знать кто сколько трафика потребляет) и дорогого инета, щас это потихоньку уходит,
а задача - всего лишь дать шлюз кому надо, и я думаю, т.к. есть АД, то надо стараться это сделать именно средствами и политиками АД,
Будут еще соображения?

вообще - прокси уже становится пережитком прошлого, и я считаю, что по возможности от него надо избавляться,

:shock: пипец большего бреда не слышал :fool:

Будут еще соображения?
переходи на BSD и забей на этот виндавоз!
АД накрутишь в LDAP
а блочить будешь в PF или PF+authpf

P.S. можно ещё поотключать у юзверей патчкорды ))))

да уж, про патчкорды - это самое конкретное решение ))))
про прокси читаем здесь:
http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80
так что из перечисленных функций мне в нем нужно? если вся защита аппаратная, сжатие нах не нужно - это во времена dial-up было актуально,
а что еще?
поэтому прокси и пережиток прошлого - потому что в его функциях постепенно отпадает необходимость,
в данном случае - это лишний тормоз и лишние проблемы, которые не нужны, да еще разбираться с какими-то там его командочками и интерефейсиками....
ну а дальше у тебя тут вроде набор терминов пошел... извини конечно ))), но структура локалки уже определена в АД,

Просьба - пишите конкретнее по делу - как завязаться именно на учётках АД

да еще разбираться с какими-то там его командочками и интерефейсиками....

с этого и надо было начинать что мол *NIXовые варианты не предлагать
1 зачем команды? он автоматом запускается для остановки и запуска 2 команды
2 интерфейса нету и небыло никогда только если прикручивали управление через вэб морду отдельно
BSD freebsd.org (http://www.freebsd.org/ru/)
PF Packet Filter (http://ru.wikipedia.org/wiki/Packet_Filter)

ну а если хочешь бицца головой о стену то вперёд
особенно про проксю мне понравилось :laugh:

P.S. а если серьёзно спроси на сайте микрософта, может и накопаешь какое то решение :quest:
или на лисяре задай этот вопрос http://forum.lissyara.su/ (http://forum.lissyara.su/)

с этого и надо было начинать что мол *NIXовые варианты не предлагать
1 зачем команды? он автоматом запускается для остановки и запуска 2 команды
2 интерфейса нету и небыло никогда только если прикручивали управление через вэб морду отдельно
BSD freebsd.org (http://www.freebsd.org/ru/)
PF Packet Filter (http://ru.wikipedia.org/wiki/Packet_Filter)

ну а если хочешь бицца головой о стену то вперёд
особенно про проксю мне понравилось :laugh:

P.S. а если серьёзно спроси на сайте микрософта, может и накопаешь какое то решение :quest:
или на лисяре задай этот вопрос http://forum.lissyara.su/ (http://forum.lissyara.su/)
Так из названия и раздела темы видно, что NIX варианты не предлагать... - это с самого начала ясно, тут сервак 2003-2008 обсуждают, сети из виндовых машин, соответвенно, если ткое количество
да и красноглазые решения подозрительны, поэтому и беплатны - т.к. отдает кустарщиной - нет любознательных студентов с ними разбираться,
а насчет прокси меня наверно многие тут поддержат - отживающий отстой времен dial-up

поэтому и беплатны - т.к. отдает кустарщиной - нет любознательных студентов с ними разбираться,
а насчет прокси меня наверно многие тут поддержат - отживающий отстой времен dial-up
:laugh:
посмотришь когда 3-4 юзверя начнут с торрентов качать :) а если человек 20 :)
тогда вспомнишь про ширину канала(что всем хватит) и т.д.

хм.... извиняюсь что не совсем по теме....
но я бы копал в сторону связки samba+winbind+squid+(возможно)rejik на шлюзе....

можно поковыряться в "Маршрутизации и удалённом доступе" но каков будет результат не знаю - не пробовал.. теоретически может что-то получится...

делить машины на те у которых указан шлюз и не указан глупо имхо... ибо привязка к пользователям более гибкая... да и при желании можно будет обойти эту привязку... не говоря уж о том что АД тут не при чём :) DHCP с ад слабо связано...
а привязаться к пользователям средствами только АД, на сколько мне известно, нельзя...
Пример как обойти привязку: приношу свой ноут на котором я Одмин и вручную прописываю правильный шлюз... и вуаля- творю что хочу ибо маршрутизатору пофих кого пускать в инет...

в итоге получится что шлюз настроить проще чем с мелкомягкими разбираться...

Резюмируя:
Имхо, используя ТОЛЬКО АД такого сделать нельзя. Можно попробовать сделать вин-сервак шлюзом и отсюда плясать...

Добавлено через 5 минут
Кстати, WAN откуда идёт и как подключен?

Собираюсь реализовать так: в AD сделаю пересылку инетовских ДНС (которые вбиты на роутере), соответственно станции в домене получат еще и эти ДНС, помимо локального, и шлюз по умолчанию.
Но получат ВСЕ.
Подскажите, как дать инет только нужным пользователям, и вообще, правильно ли я собираюсь сделать с пересылкой ДНС?
а что мешает сделать tracert ya.ru
(на машине с инетом) и вбить днс вручную?
Имхо с пересылкой днс это не выход
Резюмируя:
Имхо, используя ТОЛЬКО АД такого сделать нельзя. Можно попробовать сделать вин-сервак шлюзом и отсюда плясать...
я так понял вроде он хочет без всяких тормозов в качестве которого в таком раскладе и будет выступать вин-сервак

если у товарища в сети есть роутер , то на нем можно часть ip натить в инет а часть нет - вот и выход.
А чтоб средствами АД это сделать , это думаю нереально.
а так есть вариант покрутить групповые политики , и там либо с ДНС решать либо с встроеным фаером копаться и опять же через групповые, но я бы все таки остановился на проксе.
Это еще и определенный плюс для безопасности

если у товарища в сети есть роутер , то на нем можно часть ip натить в инет а часть нет - вот и выход.
А чтоб средствами АД это сделать , это думаю нереально.
а так есть вариант покрутить групповые политики , и там либо с ДНС решать либо с встроеным фаером копаться и опять же через групповые, но я бы все таки остановился на проксе.
Это еще и определенный плюс для безопасности
Уточню: всякие прокси, и различные тормозящие программы - НЕ НУЖНЫ, считать и резать ничего не надо,
Задача: дать инет только определенным пользователям, т.е. чтобы те кому не надо не видели шлюз в инет,
и используя штатные средства или политики AD

К макам привязываться не хотелось бы, вдруг допустим комп меняется или плата. - слишком громоздко - смысла нет,
Я хотел бы сделать это чисто с учетками AD.
Шлюз - железный.
должно быть динамическое заполнение МАКов а при смене компа вручную удалишь привязку конкретного ИП к МАКу

из данной ситуации выход только 1
сменить профессию

из данной ситуации выход только 1
сменить профессию

:super:
согласен на все 100%

из данной ситуации выход только 1
сменить профессию

поддерживаю предложение :)

Ща переведу вопрос человека - "как средствами АД влиять на маршрутизацию?" - да никак. Даже если трафик направить через Вин-роутер - еще можно как то извернуться, но стандартные средства маршрутизации вин - убогое творение. Ну а про то что в сети открытый роутер - тут я вообще промолчу.

Тут единственное решение (без лишнего) использовать Win-роутер с виндой а в АД 2 групы пользователей и в политиках безопасности одной группе есть доступ к Win-роутеру а другой нет.

А чем proxy то не устраивает :) Откуда эта уверенность, что какие-то тормоза будут. Роутер, маршрутизатор, это тот же прокси, только аппаратный. Не говоря уже о том, что софт-прокси ставится на машину заведомо мощнее, чем любой аппаратный роутер бюджетной сферы.

закачка с торрентов тут исключена - настроена фильтрация портов

Добавлено через 4 минуты
а что мешает сделать tracert ya.ru
(на машине с инетом) и вбить днс вручную?
Имхо с пересылкой днс это не выход

я так понял вроде он хочет без в качестве которого в таком раскладе и будет выступать вин-сервак

вбить ДНС вручную я итак могу, только на хрен мне это надо - бегать по станциям, мне это не нужно,
я поэтому и хочу все сделать в учетках АД или в группах

Добавлено через 21 минуту
хм.... извиняюсь что не совсем по теме....
но я бы копал в сторону связки samba+winbind+squid+(возможно)rejik на шлюзе....

можно поковыряться в "Маршрутизации и удалённом доступе" но каков будет результат не знаю - не пробовал.. теоретически может что-то получится...

делить машины на те у которых указан шлюз и не указан глупо имхо... ибо привязка к пользователям более гибкая... да и при желании можно будет обойти эту привязку... не говоря уж о том что АД тут не при чём :) DHCP с ад слабо связано...
а привязаться к пользователям средствами только АД, на сколько мне известно, нельзя...
Пример как обойти привязку: приношу свой ноут на котором я Одмин и вручную прописываю правильный шлюз... и вуаля- творю что хочу ибо маршрутизатору пофих кого пускать в инет...

в итоге получится что шлюз настроить проще чем с мелкомягкими разбираться...

Резюмируя:
Имхо, используя ТОЛЬКО АД такого сделать нельзя. Можно попробовать сделать вин-сервак шлюзом и отсюда плясать...

Добавлено через 5 минут
Кстати, WAN откуда идёт и как подключен?


По поводу ноута - это неважно - т.к. он не войдет в домен, а также не знает адрес шлюза, да и вообще - такие случаи в принципе маловероятны и практически здесь исключены.
WAN идет от провайдера по оптике, далее железяка, как там что сделано - хз - не я этим рулю, мне главное - дали его адрес, смотрящий в локалку и все, остальное меня там не касается.

Добавлено через 36 минут
Еще раз повторяю - в прокси нет необходимости.
Ну вообще - давайте все детально рассмотрим - появилась небольшая мысль:
Как я делал раньше, в небольших доменах - в свойствах сетевого окружения на станциях IP-адрес, маска, шлюз - оставить автоматически (все это дает АД), а вот ДНС прописывал руками (кому нужен инет) - первичный - локальный ДНС АД (в принципе он уже итак дается автоматом), а второй ДНС - вбиваю адрес роутера. Инет будет работать на станции только тогда, когда будет вбит этот второй ДНС. То же самое можно сделать с помощью пересылки ДНС в АД, тогда не надо будет ничё указывать руками на станциях - контроллер всё раздаст.
Так вот, в этом случае инет получают все, кто в домене. Поэтому пересылка ДНС - не тот вариант, т.к. пересылать его надо не всем.
Поэтому можно будет попробовать прописать допустим скриптами этот ДНС, при входе определенных пользователей, а при их выходе - убирать его.
Думаю, логично, но как это реализовать - т.е. какими средствами. Как думаете, это правильный путь?

вбить ДНС вручную я итак могу, только на хрен мне это надо - бегать по станциям, мне это не нужно,
я поэтому и хочу все сделать в учетках АД или в группах

это будет делать тот кто с ноутом и ему не надо в домен входить

По поводу ноута - это неважно - т.к. он не войдет в домен, а также не знает адрес шлюза, да и вообще - такие случаи в принципе маловероятны и практически здесь исключены.
WAN идет от провайдера по оптике, далее железяка, как там что сделано - хз - не я этим рулю, мне главное - дали его адрес, смотрящий в локалку и все, остальное меня там не касается.

Как я делал раньше, в небольших доменах - в свойствах сетевого окружения на станциях IP-адрес, маска, шлюз - оставить автоматически (все это дает АД), а вот ДНС прописывал руками (кому нужен инет) - первичный - локальный ДНС АД (в принципе он уже итак дается автоматом), а второй ДНС - вбиваю адрес роутера. Инет будет работать на станции только тогда, когда будет вбит этот второй ДНС. То же самое можно сделать с помощью пересылки ДНС в АД, тогда не надо будет ничё указывать руками на станциях - контроллер всё раздаст.
Так вот, в этом случае инет получают все, кто в домене. Поэтому пересылка ДНС - не тот вариант, т.к. пересылать его надо не всем.
Поэтому можно будет попробовать прописать допустим скриптами этот ДНС, при входе определенных пользователей, а при их выходе - убирать его.
Думаю, логично, но как это реализовать - т.е. какими средствами. Как думаете, это правильный путь?
имхо ты не сможешь контролировать подключения тех кто не в домене (кто с ноутами) думаю надо искать другой путь не АД

Естественно, если ноут воткнуть, ему автоматом присвоится адрес и др. параметры..., и он может шариться в инете, но для этого хотя бы надо знать адрес шлюза (в случае если контроллер ему не раздаст),
но дело в том что с ноутами тут никто не зайдет, так что такие варианты практически исключены, и не надо париться на эту тему - посторонних подключений не будет.
Меня интересуют только доменные станции

Естественно, если ноут воткнуть, ему автоматом присвоится адрес и др. параметры..., и он может шариться в инете, но для этого хотя бы надо знать адрес шлюза (в случае если контроллер ему не раздаст),
но дело в том что с ноутами тут никто не зайдет, так что такие варианты практически исключены, и не надо париться на эту тему - посторонних подключений не будет.
Меня интересуют только доменные станции

на машине, на которой есть инет
ipconfig /all
и всё - знает шлюз...
да и вообще про нут это был просто один из примеров... хочешь ещё чтук пять нарисую как к открытому шлюзу подцепиться не входя в АД?

только не в том вопрос сейчас... чтобы хоть как-то ограничить доступ в инет нужно как минимум на КД (а лучше всё-таки на другом серваке) поставить вторую сетевуху, поднять проприетарную службу маршрутизации и удалённого доступа... и пытаться связать эту службу с ад (не факт что получится кстати).... вот в таком ключе что-то может получиться...
если у тебя шлюз железный - поковыряйся на нём... но вряд ли чего-то кроме привязки к макам найдёшь там...

и на всё это, судя по тому сколько ты уже ищешь и будешь искать ответ, ты потратишь уйму времени...
и если найдёшь-таки решение то, зная "недокументированные возможности" мелкомягких, через месяц-два, максимум пол года это счастье откажется работать и придётся тратить много времени чтобы выяснить где грабли...
И теперь посмотрим в сторону никсов:
Работать будет чуть ли не на печатной машинке мануалов-гайдов-хауту полно на "каждом углу" и в ручную конфиги даже править не обязательно - через интерфейс и/или вебинтерфейс настроиться можно... к тому же если один раз настроишь как следует то потом и перенастраивать ничего не придётся.... у меня такой вот шлюз стоит два года уже... за это время я его один раз выключал когда погорела сетевуха...

З.Ы.: Squid спасёт мир....
З.З.Ы.: И всё-таки переведу вопрос "как средствами АД раздать интернет?"... имхо, это примерно то же самое что спросить "как при помощи холодильника высушить бельё?"

Добавлено через 6 минут

Как я делал раньше, в небольших доменах - в свойствах сетевого окружения на станциях IP-адрес, маска, шлюз - оставить автоматически (все это дает АД), а вот ДНС прописывал руками (кому нужен инет)...

батенька, да вы в понятиях путаетесь... это делает не AD а DHCP....
как при помощи DHCP это настроить уже советовали выше...

да естественно в инет можно войти минуя АД, какая разница, АД - это логическая структура,
я говорю о том, что таких подключений не будет,
а DHCP поднят на контроллере в данном случае, поэтому он может любому дать адрес и зарегистрировать такое подключение в базе АД - я об этом говорю

Добавлено через 19 минут
Ну немного неправильно переводишь мои мысли, мне не надо раздать инет средствами АД,
Инет уже раздается роутером, а т.к. станции в сети состоят в домене, то мне надо в нужных из них поменять параметры средствами АД, т.е. или дать им шлюз или нет.
С линухом заморачиваться не хочется, во-первых - я в нем не шарю, во-вторых - просто в падлу изучать - напоминает кустарщину, мозг отторгает линух )))
И не понимаю, чё вы тут все на прокси-программах так запариваетесь? Конечно может вам нужны все его функции, но мне - ни одной. Считать - не надо, фильтровать - не надо, резать скорость - не надо, кэшировать - не надо. Так зачем мне это? Скажите.
Короче, пока вижу вариант со скриптами, в которых буду использовать команду netsh (как в 7 - не знаю как это сработает в ХР) или аналогичные средства, для изменения параметров сетевого подключения при входе и выходе пользователей в домен.

Добавлено через 35 минут
Скажу проще, задача единственная - по умолчанию шлюз прописывается у всех станций в свойствах сетевого подключения (его дает контроллер домена), а у части доменных пользователей его надо срубить, т.е. не давать. Или наоборот - по умолчанию шлюз не давать никому, кроме нужных пользователей.
И всё.

да естественно в инет можно войти минуя АД, какая разница, АД - это логическая структура,
я говорю о том, что таких подключений не будет,
а DHCP поднят на контроллере в данном случае, поэтому он может любому дать адрес и зарегистрировать такое подключение в базе АД - я об этом говорю

вот и предложили в DHCP сделать два скопа - в одном будут прописаны шлюзы а в другом нет... в принципе нормальное решение... но позаморачиваться придётся когда кому-то нужно будет "дать" интернет а у кого-то "отнять"... впрочем это не так страшно...


Ну немного неправильно переводишь мои мысли, мне не надо раздать инет средствами АД,


да как же понимать по-другому если даже тема так называется "разграничение доступа средствами ад"?) если смутило слово "раздать" поясню - оно как раз и подразумевает дать кому-то возможность а кому-то нет


Инет уже раздается роутером, а т.к. станции в сети состоят в домене, то мне надо в нужных из них поменять параметры средствами АД, т.е. или дать им шлюз или нет.


ммм... ну не знаю... поизвращайся с административными шаблонами чтоли... либо, я не знаю, службу пропиши какую-нибудь которая будет рубить это всё счастье... думаю, при желании можно даже программуську найти такую... только всё это "не по фэншую" будет всё равно... особенно если вариант "вручную настроить/не настраивать ДНС на компах" устраивает всем кроме того что компов много, то DHCP поможет....


С линухом заморачиваться не хочется, во-первых - я в нем не шарю, во-вторых - просто в падлу изучать - напоминает кустарщину, мозг отторгает линух )))
И не понимаю, чё вы тут все на прокси-программах так запариваетесь? Конечно может вам нужны все его функции, но мне - ни одной. Считать - не надо, фильтровать - не надо, резать скорость - не надо, кэшировать - не надо. Так зачем мне это? Скажите.


ну не скажи... эта "кустарщина" во многих вопросах превосходит "некустарную" мастдайку...

а что считать не нужно и т.п... ну смотри сам... начальство это люди такие... сегодня хотят просто "обделить" кого-то интернетом а завтра скажут "счёт большой пришёл. разберись кто"... но это так.. из личного опыта просто....


Короче, пока вижу вариант со скриптами, в которых буду использовать команду netsh (как в 7 - не знаю как это сработает в ХР) или аналогичные средства, для изменения параметров сетевого подключения при входе и выходе пользователей в домен.

вот не знаю конечно... но не факт что даст менять в этих скриптах настройки сетевых копаться... впрочем если даст то ради бога...


Скажу проще, задача единственная - по умолчанию шлюз прописывается у всех станций в свойствах сетевого подключения (его дает контроллер домена), а у части доменных пользователей его надо срубить, т.е. не давать. Или наоборот - по умолчанию шлюз не давать никому, кроме нужных пользователей.
И всё.
так пользователей или компов всё-таки?

Компы могут быть какие угодно, допустим при замене станции, но все равно пользователи будут входить под своими учетками, соответственно с учетками и надо работать - я думаю так - при входе/выходе пользователя со своей учеткой в домен, скриптом менять свойства сетевого подключения на его компе.
Кстати со скопами DHCP неплохой вариант, можно его проработать. но вот опять же - как ты говоришь - "позаморачиваться придётся когда кому-то нужно будет "дать" интернет а у кого-то "отнять"... впрочем это не так страшно...",
Надо попробовать, спасибо за подсказку.
Но все-таки, меня интересуют уже готовые варианты, может кто-то уже так делал? Без использования проксей.

но вот опять же - как ты говоришь - "позаморачиваться придётся когда кому-то нужно будет "дать" интернет а у кого-то "отнять"... впрочем это не так страшно...",
Надо попробовать, спасибо за подсказку.


да незачто... а заморачиваться - так или иначе придётся...

Что бы там не получилось через АД - если ты не дашь кому-то таким образом инет - то если эта учетка будет с правами админа на локалке - ничего не помешает этому человеку узнать адрес шлюза и самому вбить шлюз и получить доступ к инету. Ну а если таких учеток нет и никто левый к сети не подцепится - то можно и через DHCP дальше копать.

Что бы там не получилось через АД - если ты не дашь кому-то таким образом инет - то если эта учетка будет с правами админа на локалке - ничего не помешает этому человеку узнать адрес шлюза и самому вбить шлюз и получить доступ к инету. Ну а если таких учеток нет и никто левый к сети не подцепится - то можно и через DHCP дальше копать.

Естественно,
но пользователям не будут даваться админские права, поэтому они сами не смогут поменять параметры сетевого подключения

вообще то через групповые политики в настройках IE указываем пользователям (которых отрезаем от инета) несуществующий прокси. далее в безопасности закрываем вкладку подключение, дабы пользователи не сносили настройки прокси. ну и боремся тогда со сторонними браузерами

Кстати, спасибо - хорошая мысль, можно попробовать,
а сторонние браузеры они итак не поставят, т.к. нет прав,
но ведь кроме браузеров, можно выйти в инет и другими способами, через аську например и т.д.

вообще то через групповые политики в настройках IE указываем пользователям (которых отрезаем от инета) несуществующий прокси. далее в безопасности закрываем вкладку подключение, дабы пользователи не сносили настройки прокси. ну и боремся тогда со сторонними браузерами


а сторонние браузеры они итак не поставят, т.к. нет прав,


ога... а из дома принести портебл мозиллу к примеру никак...

ога... а из дома принести портебл мозиллу к примеру никак...

Принести то можно... а слить на машину как? Я надеюсь, юсб-сторидж и прочие сидиромы отключены безопасности для?

Честно не стал дочитывать предложения коллег, но могу предложить следующее действие
1. в DHCP создать классы, 1) с прописанным шлюзом, 2) с пустым
2. в групповой политике сделать дополнительные OU с интернетом и без
3. на групповую политику с интернетом и без поставить logon script который присваивает сетевой карте тот или иной класс например "ipconfig /setclassid LAN inet " "ipconfig /setclassid LAN lan "

в результате получим требуемое разграничение без особого извращения, так-как одна группа машин будет получать шлюз от dhcp сервера, а другая нет.
(политику разумеется применять к машинам)

1. в DHCP создать классы, 1) с прописанным шлюзом, 2) с пустым

С этого момента если можно - подробнее.
Операционка предполагается - Server 2003 / 2008 / 2008R2 ?

с сайта микрософта, это работает во всех dhcp начиная с win 2000. есть небольшие отличия, но вообщем этот механизм присутствует везде.

Vendor-defined classes are used for managing DHCP options assigned to clients identified by vendor type.

User-defined classes are used for managing DHCP options assigned to clients identified by a common need for a similar DHCP options configuration.

After defining an option class, individual scopes must be configured with any class-related options to be provided to clients.
Create a New User or Vendor Option Class

1. Start DHCP Manager.
2. In the console tree, click the applicable DHCP server branch.
3. Right-click the server, and then click Define User Classes to create a new user class, or click Define Vendor Classes to create a new vendor class.
4. Click Add.
5. In the New Class dialog box, type a descriptive identifying name for the new option in the Display name box. You may also add additional information to the Description box.
6. Type in the data to be used by the DHCP Server service for matching the class ID provided by DHCP clients under ID or ASCII. To enter the data as hexadecimal byte numeric values, click the left side of the text box. To enter data as American Standard Code for Information Interchange (ASCII) text character values, click the right side of the text box.
7. Click OK, and then click Close.

Configure a DHCP Scope with the New Class ID

1. In DHCP Manager, double-click the appropriate DHCP scope.
2. Right-click Scope Options and then click Configure Options.
3. Click Advanced.
4. Click to select the check box or boxes next to the features you want to use with the new vendor or user class.
5. Click OK.

To Set the Specified DHCP Class ID String for Client Computers
Client computers that connect to a Windows 2000-based DHCP server can use the following command to set the specified DHCP class ID string:
ipconfig /setclassid adapter_name class_id
For example, to configure an adapter called "Local Area Connection" with a user class ID called "myuserclass", type ipconfig /setclassid Local Area Connection myuserclass at a command prompt, and then press ENTER.

This identifies the "Local Area Connection" interface to receive the DHCP options configured for "myuserclass" on the DHCP server.

NOTE: Class IDs in ASCII are case sensitive, and must match the class identifying data entered in the Edit Class dialog box used to create the new user or vendor option class.

Век живи - век учись! :super:

У меня везде сделано проще: в AD создана группа, допустим HTTP и в неё добавлены пользователи, которым даётся доступ в сеть через браузер. Потом в ИСЕ создаю правило что всем пользователям из группы HTTP давать доступ туда-то и туда-то.
Точно так же с другими протоколами, типа аськи, почты и т.д.

У меня везде сделано проще: в AD создана группа, допустим HTTP и в неё добавлены пользователи, которым даётся доступ в сеть через браузер. Потом в ИСЕ создаю правило что всем пользователям из группы HTTP давать доступ туда-то и туда-то.

AD-авторизация - это гуд, но не весь софт ее поддерживает, особенно всяческие клиент-банки и прочие самописные софтины. Потому и делимся тут опытом :)

Ну вообщем-то инет по умолчанию раздаёт сервер под виндой, а это Forefront или ISA,- соответственно проблем быть не должно

Ну вообщем-то инет по умолчанию раздаёт сервер под виндой, а это Forefront или ISA,- соответственно проблем быть не должно

Не должно для софта, написанного с учетом работы через прокси с АД-авторизацией. Те клиент-банки, с которыми я работал, этого не умели.

Как вариант - их натить, тут как раз схема с двумя областями в ДХЦП очень хороша.

Коллеги, с исой проблем никогда и не было. Топикстартеру интересно "средствами винды".

Топикстартеру интересно "средствами винды".

Топикстартеру уже не интересно - почти 2 недели в топике не появляется :)

ну ИСА по ходу отдельных бабок стоит... это тоже не хотелось бы,
думаю, наиболее приемлемые варианты предложены dmitry_a

Добавлено через 1 минуту
Топикстартеру уже не интересно - почти 2 недели в топике не появляется :)


извините за отсутствие - был в отъезде))))

Добавлено через 19 минут
С этого момента если можно - подробнее.
Операционка предполагается - Server 2003 / 2008 / 2008R2 ?

планируется 2008R2

Народ, надеюсь тема еще актуальна.
Извините за долгое отсутствие

Вот щас как-раз ситуация такая на другом домене.
Инет раздается всем через DHCP.
Пока не знаю как ограничить

я описывал возможный способ решения данного вопроса при помощи DHCP, другие варианты на мой взгляд связаны только с прокси сервером, либо работы руками, что в большой сети очень неудобно.

если чего-то не получилось, давай попробуем разобраться в чем загвоздка., если нужен скрипт который пропишет все на машинах, могу показать пример.

Ситуация следующая:
тут стояла ИСА, весь инет шел через нее, и в один прекрасный момент она накрылась (ну с исой так частенько бывает),
в качестве срочной меры пришлось из одного сервака сделать роутер и раздать всем инет через пересылку ДНС на котроллере домена,
роутер поднят стандартной виндовской службой RRAS, работает NAT (ну как положено),
помимо этого в сети стоит циска, где в качестве DNS-сервера прописан тот же контроллер домена - это сделано для клиентов, не состоящих в домене (тут распределенная сеть) - т.е. циска тоже пересылает DNS-запросы на тот же контроллер домена, а он в свою очередь отправляет их тоже на тот же роутер,
т.е. котроллер является DNS-сервером с пересылкой, как для членов домена, так и для других клиентов сети.
Может попробовать поиграть с ограничениями на роутере в RRAS? Другого выхода пока не вижу, там есть политики удаленного доступа, но я не знаю как там создавать правила.
По крайней мере может быть получиться ограничить доступ в инет статическим айпишникам (например сервакам), а то щас все сервера и контроллер тоже видят инет.
А.... забыл сказать - сервак-роутер я в актив директори не включал - он не состоит в домене.

Если на сервере-роутере стоит 2008 сервер, можно поиграться с его встроенным файрволлом,благо в 2008 он стал вменяемый , а те разграничения которые есть в RRAS, на сколько мне не изменяет память, для VPN сети, а не для NAT (хотя могу и ошибаться, давно с RRAS'ом плотно не сталкивался.)

Если средствами микрософт то без исы это не решить. По поему единственный способ - для тех кому не нужен инет, при раздаче dhcp, шлюз не указывать. RRAS, NAT В данном случае - или всем или никому.

Через политики на интернет эслорер установи прокси сервер 127.0.0.1, чтобы он сам на себя зварачивался.

Здравствуйте!
Хотел узнать, как разграничить права доступа в инет определенным пользователям, т.е. раздавать инет не всем.
Причем, не используя всякие прокси, ИСА и т.д., только средствами AD. Возможно ли это?
Собираюсь реализовать так: в AD сделаю пересылку инетовских ДНС (которые вбиты на роутере), соответственно станции в домене получат еще и эти ДНС, помимо локального, и шлюз по умолчанию.
Но получат ВСЕ.
Подскажите, как дать инет только нужным пользователям, и вообще, правильно ли я собираюсь сделать с пересылкой ДНС?
Раньше просто тупо вбивал шлюз на нужных станциях кому надо, но если машин много, то особо не набегаешься.
Я думаю просто не нужно изобретать велосипед! Нужно просто поставить программный или железный роутер с фаерволом
Так будет правильней!

Добавлено через 1 минуту
Если все грамотно настроишь, Но ни каких тормозов не будет, а наоборот за счет кэширования страниц увеличишь скорость их открытия

Конечно железные решения лучше всего, остается только полностью освоить циску )))
А в данный момент придется обходиться имеющейся исой, и в будущем тут планируетс переход на форефронт