![]() |
Запретить доступ к веб-сайтам для определенного списка компьютеров.
Здравствуйте. Подскажите пожалуйста, как можно запретить доступ к некоторым веб-ресурсам только для определенного круга компьютеров и определенной группы пользователей. Суть такова:
Active Directory на вин2003, установлен ISA Server. Часть компьютеров объединяю в OU. Нужно только для этой OU запретить некоторые веб-сайты. Я НЕ МОГУ закрыть доступ для самого пользователя, потому что доступ на веб-ресурсы должен предоставляться на других компьютерах организации под этой же учетной записью. (те, которые не входят в созданый мною OU) Я НЕ МОГУ закрыть доступ на этих компьютерах совсем, потому что под другими пользователями доступ должен предоставляться.. Вот такая вот проблема. Что посоветуете? |
Насколько я понимаю, нужно определенным пользователям запретить доступ к определенным интернет-ресурсам, но только на определенных компах?
ip-адреса статические? В этом случае создаем в ISA правило: source - список ip-адресов неправильных компьютеров destination - список сайтов/доменов, которые заблокировать action - deny применение правила - не ко всем пользователям, а к конкретной группе. В группу включаем тех, кому надо резать доступ. Вроде так. |
|
HLT, Да, вы все правильно поняли.
IP адреса назначаются DHCP, но я так понимаю, что продление аренды не изменит адрес. Могу ли я использовать имена компьютеров? Или каким-то образом указать маску имени компьютера? Потому что все имена имеют вид: "номер здания-кабинет-номер компьютера". |
Цитата:
Цитата:
Цитата:
|
HLT, проблема в том, что я не администратор домена :)
А ISA видит всю структуру AD? |
HLT,
Повнимательнее прочитайте первый пост. |
Цитата:
Цитата:
Цитата:
Отвлеклись на словесную перепалку :) , теперь по теме топика: Цитата:
Цитата:
Это вкратце. Если интересуют тонкости - надо почитать литературу про ISA. Например, здесь: http://www.isadocs.ru/articles/ |
HLT,
Если Я правильно понял первый пост, то почитайте цитаты в моем посте, идущим вторым. Автор НЕ МОЖЕТ (нельзя ему по условию) закрыть доступ определенным компьютерам, т.к. на них работают пользователи, которым в Инет можно! И не может закрыть пользователям, т.к. они работают и за другими компьютерами, с которых в Инет ИМ можно! Вообще ситуация дебильная, ИМХО. |
monkkey,
Вы не совсем верно поняли автора. Говоря образными понятиями и приводя в пример детский конструктор типа "Лего", можно выразиться так: - кубики бывают двух форм: квадратные и прямоугольные - кубики бывают двух цветов: красные и белые - кубики бывают двух видов: деревянные и пластмассовые Нам нужно уничтожить все КРАСНЫЕ КВАДРАТНЫЕ ДЕРЕВЯННЫЕ кубики. Задача, выполнимая даже для для дошкольника. В данном случае квадратность - это принадлежность компьютера к группе "особенные" Красный цвет обозначает принадлежность пользователя к группе "можно не всё и не отовсюду" Материал, из которого сделаны кубики - тип интернет-ресурса (пластик - правильные сайты, дерево - порнуха) Соответственно, нам нужно правило, которое: 1) распространяется только на определенную группу компьютеров 2) действует только на определенных пользователей 3) работает только при попытке обращения на определенные интернет-ресурсы Поэтому сначала отправляем автора топика к своему админу с вопросом "хочу быть администратором ISA-сервера", а потом придаем положительное ускорение в сторону букваря с описанием настройки фаервольных правил: http://www.isadocs.ru/articles/Under...rocessing.html |
Я не совсем понимаю, что за тема про кубики... Но в общем случае задача ставится так (это для тех, кто считает, что задача дебильная).
Есть компьютерные классы, образуют домен. Есть учетная запись "student" - типа гостевой вход. Есть так же персональные записи для дипломников и т.д., для персонала. Нужно сделать так, чтобы на ЭТИХ компьютерах student-у не было доступа на некоторые сайны, а персонал мог свободно посещать их... Но эти изменения не могли затронуть компьютеры ВНЕ класса, даже есть пользователь входил под student-ом. |
seqular,
Еще раз Вам объясняю, что в данном контексте задача нерешаема. Если только компьютеры ВНЕ класса будут "ходить" в Инет через другой шлюз. |
monkkey, Ну почему же? Если есть возможность применения групповых политик на пользователя в OU. Почему бы не создать ограничения какого либо рода посредством этих полтик? Или вы хотите сказать, что задача применения политик на конкретного пользователя в определенной OU - задача нерешаемая?
|
Цитата:
А эта задача решается ISA-сервером, который никоим образом не связан с политиками, накладываемыми на пользователей и компьютеры. Поэтому я Вам и описал, как настроить правила на ISA. Закрыть всё с помощью политик - легче лёгкого Если весь интернет у вас раздается только через прокси, и нет возможности без прокси его получить - тогда можно резать политиками. Например, всем пользователям назначить политику, запрещающую изменение любых настроек прокси-сервера, и туда же логон-скрипт, который будет прописывать параметры прокси. Если одновременно имя пользователя = student и имя/ip-адрес рабочей станции в списке "запретных" - настройки прокси скрипт должен обнулять. И не будет инета вообще для данного конкретного юзера на данных конкретных компах. Указанный ниже скрипт в зависимости от адреса компьютера прописывает прокси. Для сети 10.1.1.0/24 - один прокси сервер, для сети 10.1.2.0/24 - другой, для остальных адресов прокси отсутствует, соответственно инета нет. Остается заменить проверку ip-адреса на проверку имени компьютера, и добавить проверку имени пользователя. И еще вместо "наш-домен.ru" (в двух местах скрипта) поставить имя вашего домена. Код:
On Error Resume Next |
Какой интересный пост. Вы не хотите попробовать вот такую штуку:
Как вам раньше писали объединить машины на который нужно закрыть сайты объединить в набор кмпьютеров пр. [Запрещенные машины] (при пом. резервирования на DHCP или вообще в др. подсеть выкинуть т.е. поделить сетку или маршрутизатором или в ису воткнуть еще одну сетевую и их туда посадить). Сделать набор запрещенных сайтов [Черный список сайтов]. И прописать правила на сервере. А пользователей, которым нужно запретить доступ объеденить в группу исы Students Код:
--------------------------------------------------------------------------------------------- P.S. ISA читает правила сверху вниз. |
Время: 23:42. |
Время: 23:42.
© OSzone.net 2001-