Запретить доступ к веб-сайтам для определенного списка компьютеров.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

Запретить доступ к веб-сайтам для определенного списка компьютеров.

Здравствуйте. Подскажите пожалуйста, как можно запретить доступ к некоторым веб-ресурсам только для определенного круга компьютеров и определенной группы пользователей. Суть такова:
Active Directory на вин2003, установлен ISA Server. Часть компьютеров объединяю в OU. Нужно только для этой OU запретить некоторые веб-сайты.
Я НЕ МОГУ закрыть доступ для самого пользователя, потому что доступ на веб-ресурсы должен предоставляться на других компьютерах организации под этой же учетной записью. (те, которые не входят в созданый мною OU)
Я НЕ МОГУ закрыть доступ на этих компьютерах совсем, потому что под другими пользователями доступ должен предоставляться.. Вот такая вот проблема. Что посоветуете?

Насколько я понимаю, нужно определенным пользователям запретить доступ к определенным интернет-ресурсам, но только на определенных компах?

ip-адреса статические?
В этом случае создаем в ISA правило:
source - список ip-адресов неправильных компьютеров
destination - список сайтов/доменов, которые заблокировать
action - deny
применение правила - не ко всем пользователям, а к конкретной группе.
В группу включаем тех, кому надо резать доступ.

Вроде так.

Цитата:

Цитата seqular

НЕ МОГУ закрыть доступ для самого пользователя »

Цитата:

Цитата seqular

НЕ МОГУ закрыть доступ на этих компьютерах совсем »

Естественно, решений у этой задачи нет.

HLT, Да, вы все правильно поняли.
IP адреса назначаются DHCP, но я так понимаю, что продление аренды не изменит адрес. Могу ли я использовать имена компьютеров? Или каким-то образом указать маску имени компьютера? Потому что все имена имеют вид:
"номер здания-кабинет-номер компьютера".

Цитата:

Цитата seqular

IP адреса назначаются DHCP, но я так понимаю, что продление аренды не изменит адрес. »

На всякий случай я б еще резервирование им прописал в DHCP

Цитата:

Цитата seqular

Могу ли я использовать имена компьютеров? »

Наскоьлко я помню, нельзя. ISA работает с IP-адресами

Цитата:

Цитата seqular

Или каким-то образом указать маску имени компьютера? »

Прописать в правиле определенный диапазон адресов, зарезервировать его в DHCP, и выдавать адреса из этого диапазона только на те компы, к которым будет применяться это правило

HLT, проблема в том, что я не администратор домена :)
А ISA видит всю структуру AD?

HLT,
Повнимательнее прочитайте первый пост.

Цитата:

Цитата monkkey

Повнимательнее прочитайте первый пост »

Прочитал =)

Цитата:

Цитата HLT

Насколько я понимаю, нужно определенным пользователям запретить доступ к определенным интернет-ресурсам, но только на определенных компах? »

Цитата:

Цитата seqular

Да, вы все правильно поняли. »

Отвлеклись на словесную перепалку :) , теперь по теме топика:

Цитата:

Цитата seqular

проблема в том, что я не администратор домена »

Это плохо.

Цитата:

Цитата seqular

А ISA видит всю структуру AD? »

В Исе есть сопоставление доменных пользователей/групп. То есть, например, в Исе создаем группу "denied-access-to-some-sites" и говорим, что она соответствует такой-то доменной группе.
Это вкратце. Если интересуют тонкости - надо почитать литературу про ISA.
Например, здесь: http://www.isadocs.ru/articles/

HLT,
Если Я правильно понял первый пост, то почитайте цитаты в моем посте, идущим вторым. Автор НЕ МОЖЕТ (нельзя ему по условию) закрыть доступ определенным компьютерам, т.к. на них работают пользователи, которым в Инет можно! И не может закрыть пользователям, т.к. они работают и за другими компьютерами, с которых в Инет ИМ можно! Вообще ситуация дебильная, ИМХО.

monkkey,
Вы не совсем верно поняли автора.

Говоря образными понятиями и приводя в пример детский конструктор типа "Лего", можно выразиться так:
- кубики бывают двух форм: квадратные и прямоугольные
- кубики бывают двух цветов: красные и белые
- кубики бывают двух видов: деревянные и пластмассовые

Нам нужно уничтожить все КРАСНЫЕ КВАДРАТНЫЕ ДЕРЕВЯННЫЕ кубики.
Задача, выполнимая даже для для дошкольника.

В данном случае квадратность - это принадлежность компьютера к группе "особенные"
Красный цвет обозначает принадлежность пользователя к группе "можно не всё и не отовсюду"
Материал, из которого сделаны кубики - тип интернет-ресурса (пластик - правильные сайты, дерево - порнуха)

Соответственно, нам нужно правило, которое:
1) распространяется только на определенную группу компьютеров
2) действует только на определенных пользователей
3) работает только при попытке обращения на определенные интернет-ресурсы

Поэтому сначала отправляем автора топика к своему админу с вопросом "хочу быть администратором ISA-сервера",
а потом придаем положительное ускорение в сторону букваря с описанием настройки фаервольных правил:
http://www.isadocs.ru/articles/Under...rocessing.html

Я не совсем понимаю, что за тема про кубики... Но в общем случае задача ставится так (это для тех, кто считает, что задача дебильная).
Есть компьютерные классы, образуют домен.
Есть учетная запись "student" - типа гостевой вход.
Есть так же персональные записи для дипломников и т.д., для персонала.

Нужно сделать так, чтобы на ЭТИХ компьютерах student-у не было доступа на некоторые сайны, а персонал мог свободно посещать их... Но эти изменения не могли затронуть компьютеры ВНЕ класса, даже есть пользователь входил под student-ом.

seqular,
Еще раз Вам объясняю, что в данном контексте задача нерешаема. Если только компьютеры ВНЕ класса будут "ходить" в Инет через другой шлюз.

monkkey, Ну почему же? Если есть возможность применения групповых политик на пользователя в OU. Почему бы не создать ограничения какого либо рода посредством этих полтик? Или вы хотите сказать, что задача применения политик на конкретного пользователя в определенной OU - задача нерешаемая?

Цитата:

Цитата seqular

Почему бы не создать ограничения какого либо рода посредством этих полтик? »

Вы в первом посте говорите, что надо закрыть некоторые веб-сайты, а не все.
А эта задача решается ISA-сервером, который никоим образом не связан с политиками, накладываемыми на пользователей и компьютеры.
Поэтому я Вам и описал, как настроить правила на ISA.

Закрыть всё с помощью политик - легче лёгкого
Если весь интернет у вас раздается только через прокси, и нет возможности без прокси его получить - тогда можно резать политиками.

Например, всем пользователям назначить политику, запрещающую изменение любых настроек прокси-сервера, и туда же логон-скрипт, который будет прописывать параметры прокси.
Если одновременно имя пользователя = student и имя/ip-адрес рабочей станции в списке "запретных" - настройки прокси скрипт должен обнулять. И не будет инета вообще для данного конкретного юзера на данных конкретных компах.

Указанный ниже скрипт в зависимости от адреса компьютера прописывает прокси.
Для сети 10.1.1.0/24 - один прокси сервер, для сети 10.1.2.0/24 - другой, для остальных адресов прокси отсутствует, соответственно инета нет.
Остается заменить проверку ip-адреса на проверку имени компьютера, и добавить проверку имени пользователя.
И еще вместо "наш-домен.ru" (в двух местах скрипта) поставить имя вашего домена.

Код:

On Error Resume Next

strComputer = "."

ProxyFlag = 1

Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")

Set colAdapters = objWMIService.ExecQuery("SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled = True")

For Each objAdapter In colAdapters

        For i = LBound(objAdapter.IPAddress) To UBound(objAdapter.IPAddress)

                If Left(objAdapter.IPAddress(i), 5) = "10.1." Then

                        IPAddr = objAdapter.IPAddress(i)

                        Exit For

                End If

        Next

Next



IPAddrCutLeft = Right(IPAddr, Len(IPAddr) - 5)

IPAddrCut = Left(IPAddrCutLeft, InStr(IPAddrCutLeft, ".") - 1)



Select Case IPAddrCut

Case "1"

        pxy = "PROXY01:8080"

Case "2"

        pxy = "PROXY02:8080"

Case Else

        pxy = ""

        ProxyFlag = 0

End Select



Set oReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\default:StdRegProv")

Const HKEY_CURRENT_USER = &H80000001

strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Internet Settings\"

oReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, "ProxyServer", pxy

oReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, "ProxyOverride", "10.4.*;192.168.*;*.наш-домен.ru;<local>"

oReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, "ProxyEnable", ProxyFlag

oReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, "EnableHttp1_1", 1

oReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, "ProxyHttp1.1", 1

strKeyPath = "Software\Microsoft\Internet Explorer\Main\"

oReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, "Start Page", "http://www.наш-домен.ru/"

Какой интересный пост. Вы не хотите попробовать вот такую штуку:

Как вам раньше писали объединить машины на который нужно закрыть сайты объединить в набор кмпьютеров пр. [Запрещенные машины] (при пом. резервирования на DHCP или вообще в др. подсеть выкинуть т.е. поделить сетку или маршрутизатором или в ису воткнуть еще одну сетевую и их туда посадить). Сделать набор запрещенных сайтов [Черный список сайтов]. И прописать правила на сервере. А пользователей, которым нужно запретить доступ объеденить в группу исы Students

Код:

---------------------------------------------------------------------------------------------

1. Правило: Запретить доступ для след. пользователей со сл. машин

---------------------------------------------------------------------------------------------

Действие ЗАПРЕТИТЬ

Протоколы: Весь исх. трафик 

Откуда: [Запрещенные машины] 

Куда: Внешняя (External)

Пользователи: Students



---------------------------------------------------------------------------------------------

2.  Правило: Разрешить инет со всех остальных тачек

---------------------------------------------------------------------------------------------

Действие: РАЗРЕШИТЬ

Протоколы: HTTP, HTTPS (ну и что вы там еще используете)

Откуда: [Внутренняя сеть] (все компы в локалке)

Куда: [Внешняя] 

Пользователи: Пользователи которым нужен нет + Students

Я думаю так будет работать.
P.S. ISA читает правила сверху вниз.