AD закрываем доступ к некоторым сайтам
 

Active Directory - Win 2003. Где и как и вообще возможно ли закрыть доступ к сайтам с помощь АД. Или такое через firewall только возможно?

через встроенный - нет.
это не функционал файервола.
АД этим тоже не занимается.
но, можно через GPO включить "родительский контроль" в IE и заблокировать какие-то сайты.
но это будет работать только в IE.
правильное решение - фильтровать на шлюзе.

Встроенный - это брэндмаур? Стоит nod32 Smart security 4 у него персональный файрвол. Создал правило: вася пупкин.рф -> запрет трафика в обе стороны, но он почему то игнорирует данное правило. Запретить нужно всем кто в сети.
Подробнее: Два сетевые карты, одна смотрит в локалку, другая в инет. Мне надо на сетевую которая смотрит в инет -> запрет на сайты. Что делать?

Установить, например, TMeter. Там есть в т.ч. и URL-фильтрация.

Собственно не помог TMeter. Сервер не является проксей, на нем просто крутится AD, я так понимаю, что через него идут только DNS запросы. В Tmeter что только не пробовал - указывал в профиле Любой IP на Любой IP, на IP DNS-а и т.д. ни как, не хочет, может конечно руки кривые. Вообщем вопрос открытый.

Могу предложить бредовый вариант:
создать файл hosts, в который прописать сайты и выставить им IP 127.0.0.1
127.0.0.1 site.ru
И через политики раскидать всем. Криво, но, учитывая вопрос, про использования только AD - можно и так :)

TMeter ставится на шлюз. Чтоб перекрыть кран, нужно на нём сидеть.

Можно, конечно и в Ленинград через Магадан, н не проще ли прочитать в документации про URL-фильтрацию?

Отключить маршрутизацию.

Надо не все сайты, а только развлекуху.
Маршрутизация и DHCP у провайдера, его оборудвание этим занимается, у меня только ftp и AD. Через ftp не чего не настроить, а через AD я не знаю как. Насколько я понимаю, через AD идут все DNS запросы, может есть какой нибудь инструмент позволяющий определённые DNS имена блокировать. По этому здесь и спрашиваю, файл hosts легко редактируется блокнотом или тупо удаляется, все участники сети, локальные администраторы.
P.S. К тому же, можно же зайти локально, без домена.

Ну про hosts уже писали. Cоздавайте зоны например *.xxx.com и заворачивайте на 127.0.0.1. Вообще-то правильно использовать специализированное ПО для этих целей. Глядите логи, почему ваш брандмауэр игнорирует созданные правила. Может галочку где-нибудь не поставили? У меня стоял Трафик Инспектор. Все резал и перенаправлял как положено. Могу лицензию продать подешевле... а то валяется...

Master of Magic, вы, судя по всему, не очень понимаете, о чём идёт речь.
У вас что, нет шлюза (маршрутизатора), обеспечивающего доступ в Интернет из вашей сети?

Я понимаю, что на маршрутизаторе, прокси-сервере и иже с ним оборудование очень легко настроить шейпинг, url фильтрацию, билинг, запретить определенный диапазон ip адресов и т.д. Но как я и писал выше: маршрутизацией занимается непосредственно сам провайдер, то есть proxy у него. А у меня только AD и FTP. То есть серые IP адреса для нашей внутренней сети предоставляет сам провайдер.
В общем я перестрою вопрос, так как не совсем понимаю для чего нужно АД: DNS (domain name system) запросы обязательно проходят через АД если рабочая станция залогинина в домене? Если да то по всей видимости должен быть какой-нибудь инструмент который будет блокировать определённые DNS запросы.
Или где?

Если в качестве DNS сервера для всех клиентов у вас выступает ВАШ сервер(который АД и ФТП), то, как я уже писал, создавайте там зоны и заворачивайте их на 127.0.0.1 или куда там вам нравится...

для работы в локальной сети по именам. читаем больше http://ru.wikipedia.org/wiki/Active_Directory
залогинина и всё, больше она к АД не обращается, ну если только где проверить доступ к ресурсам в локальной сети.
не должен.
увы, к сожалению, по непонятным причинам не всегда работает. Я как-то делал - часть сайтов рубится, часть нет.
о ужас. а не пробовали поставить между провайдером и своей локальной сетью маршрутизатор? это ж получается любой клиент провайдера к вам в сеть может ломиться...

Может стоило поиграться с рекурсией и/или с кэшированием dns-запросов? Ну это уже другая тема... Я просто пытался решить поставленную задачу в рамках ограничений наложенных автором.

Ладно я понял. Короче решения кроме hosts или реестра нет.

Есть. И самое правильное: