|
заставить клиентские машины использовать разные dns-серверы групповыми политиками
и снова здравствуйте, уважаемые форумчане !
в связи с этой темой, возникла необходимость разрешения клиентскими машинами (XP, 7) dns-имен при обращении в интернет, через два разных, своих (локальных), dns-сервера суть вопроса : возможно ли вообще, групповыми политиками заставить клиентские машины использовать разные dns-серверы в настройках сетевых подключений, в зависимости от того, - к какой группе пользователей в домене принадлежит пользователь, залогинивающийся на машину пользователи при этом не имеют прав администратора если же это возможно, если при этом доменный пользователь всё же имеет права локального администратора на машине (входит в локальную группу Администраторы), то не останется ли "навсегда" на этой машине адрес dns-сервера в настройках сетевого подключения, полученный при входе этого пользователя ? иными словами, поменяется ли dns-сервер в настройках подключения снова, если после него войдет пользователь, состоящий в другой группе (и для которого нужно использовать другой dns-сервер), и не являющийся при этом локальным администратором ? с уважением и надеждой, я |
Цитата:
Адреса DNS можно задать/изменить двумя способами: 1) В DHCP-сервере создать по MAC-адресу резервирование IP-адреса с особыми параметрами 2) Изменить параметры сети через CMD-файл Теоретически, если доменный пользователь имеет права локального администратора, то запускаемый от его имени скрипт может изменить права сети. Достаточно прописать этот файл в разделе "начало работы" групповой политики для пользователя. При этом на завершение работы пользователя можно повесить скрипт, указывающий обычный DNS-сервер. Таким образом при включении ПК получит IP и "обычный" DNS от DHCP-сервера. При начале работы "особого" пользователя скрипт изменит DNS на "особый" При завершении работы "особого" пользователя скрипт DNS на "обычный" |
El Scorpio,
спасибо за полный и обстоятельный ответ хорошо же, а можно тогда из контроллера домена сделать что-то типа dns-форвардера ? , то есть чтобы он, будучи прописанным в качестве dns-сервера в настройках сетевого подключения на клиентах, перенаправлял dns-запросы с клиентских машин на разные вышестоящие dns-серверы, в зависимости от того, к какой группе пользователей в домене принадлежит залогинившийся на клиентскую машину пользователь ? что это даст: запросы с клиентских машин, на которые залогинились ученики, попадут по перенаправлению на dns-серверы провайдера, и обеспечится контент-фильтрация а запросы с клиентских машин, на которые залогинились учителя, попадут по перенаправлению на свой dns-сервер (в углу тут недалеко стоит), который разрешает dns-имена через vpn с анонимайзером, по зашифрованному gre-туннелю, имея при этом свой, отдельный, доступ в интернет |
Цитата:
Вопросы двух выходов в и-нет обсуждали тут, поищите. |
Цитата:
Любой DNS-сервер может осуществлять пересылку запросов для неизвестных имён сайтов. Однако "условный сервер пересылки" работает только по именам сайтов. То есть можно, чтобы запросы для имён *.filial.local пересылались на сервер 192.168.10.1, обслуживающий домен и ЛВС филиала, в то время как остальные запросы (для имён сайтов интернета) шли на DNS провайдера. Однако настроить то же самое, чтобы запросы пересылались Цитата:
|
Неверно выбрана сама идея, метод работы.
|
El Scorpio, спасибо, по традиции всё объяснили развёрнуто и доступно,
но ответ опечалил :( WindowsNT, Вы, похоже, правы но только в чём он тогда, правильный Цитата:
|
Я бы подумал за аутентификацию пользователей. Фильтрация по IP ничего толкового не даст, а раздельная обработка DNS-запросов — это вообще не секурити ни разу.
dns вы можете менять, выдав пользователю членство в группе network configuration operators. Но всё равно надо думать за аутентификацию именно людей, а не ненадёжных игр с DNS. |
Цитата:
Вот Вам и повторил Windows NT про аутентификацию. Эти решения давно проработаны и документация хорошая, сейчас меньше просто стали применять из-за ISA и др.дел. Ваш ИКС на линуксе с касперским - тот же Kerio с McAfee по идейной части только наверняка слабее по интерфейсу и функционалу. |
alef2474,
Цитата:
то есть, идеологически, Вы предлагаете использовать свой контент-фильтр, а не провайдера ? если так, то тогда укажите (если возможно), как дела с базами сайтов в Kerio, или других продуктах, которые мне здесь советуют/посоветуют . эти базы, они есть ? они кем-то поддерживаются ? они автоматически обновляются ? я объяснюсь, тот фильтр, что сейчас предоставляет провайдер, поддерживается сообществом, более того организацией под названием ЦАИР, которая была создана по проекту Образование в нашей стране, то есть, там есть базы запрещенных сайтов, и они автоматически кем-то поддерживаются, вести такую базу самому - глупо, разрешать доступ только на сайты белого списка, который сам же и ведешь - ещё глупее я вот за этот нюанс переживаю, говоря о контент-фильтре на своей территории. Цитата:
и ещё один доступ в и-нет подразумевает проведение ещё одной телефонной пары от этого самого провайдера, а этого делать никто не будет но и не нужно у меня сейчас (и есть основания полагать, что и всегда будет) превосходно работает vpn до платного анонимайзера, и трафик по нему вполне бежит и по сети раздаётся так что, вопрос не в том, вопрос, может, - в том, как теперь раздать эти фильтрованный и нефильтрованный и-нет, основываясь на принадлежности пользователя к определенной группе в домене |
Цитата:
Цитата:
Имхо, зачем Вам какие-то базы при таком подходе? Ученикам можете зарезать все, кроме нескольких учебных сайтов, а учителям все разрешить. Это их же забота будет - не подпускать учеников к дисплею, когда они залогинятся. Полным неучебным и-нетом ученики пусть пользуются по домам. Средства фильтрации достаточно проработанные, возможно Вы можете перенести фильтры ЦАИР в Керио. Я этим не занимался. Цитата:
|
господа,
совершенно ясно, что "шутки" с dns не пройдут, пойду по другому пути - прокси всем огромное спасибо за участие, forum.oszone.net - лучший ! |
| Время: 02:47. |
Время: 02:47.
© OSzone.net 2001-