[El Scorpio]

Цитата malysh!:

возможно ли вообще, групповыми политиками заставить клиентские машины использовать разные dns-серверы в настройках сетевых подключений, в зависимости от того, - к какой группе пользователей в домене принадлежит пользователь, залогинивающийся на машину »

Нет.
Адреса DNS можно задать/изменить двумя способами:
1) В DHCP-сервере создать по MAC-адресу резервирование IP-адреса с особыми параметрами
2) Изменить параметры сети через CMD-файл

Теоретически, если доменный пользователь имеет права локального администратора, то запускаемый от его имени скрипт может изменить права сети. Достаточно прописать этот файл в разделе "начало работы" групповой политики для пользователя. При этом на завершение работы пользователя можно повесить скрипт, указывающий обычный DNS-сервер.


Таким образом при включении ПК получит IP и "обычный" DNS от DHCP-сервера.
При начале работы "особого" пользователя скрипт изменит DNS на "особый"
При завершении работы "особого" пользователя скрипт DNS на "обычный"

[malysh!]

El Scorpio,
спасибо за полный и обстоятельный ответ

хорошо же,
а можно тогда из контроллера домена сделать что-то типа dns-форвардера ? ,
то есть чтобы он, будучи прописанным в качестве dns-сервера в настройках сетевого подключения на клиентах, перенаправлял dns-запросы с клиентских машин на разные вышестоящие dns-серверы,
в зависимости от того, к какой группе пользователей в домене принадлежит залогинившийся на клиентскую машину пользователь ?

что это даст:
запросы с клиентских машин, на которые залогинились ученики,
попадут по перенаправлению на dns-серверы провайдера, и обеспечится контент-фильтрация
а запросы с клиентских машин, на которые залогинились учителя,
попадут по перенаправлению на свой dns-сервер (в углу тут недалеко стоит), который разрешает dns-имена через vpn с анонимайзером, по зашифрованному gre-туннелю, имея при этом свой, отдельный, доступ в интернет

[alef2474]

Цитата malysh!:

, и обеспечится контент-фильтрация »

Не проще ли для этого использовать что-нибудь типа Kerio Firewall/Control - достаточно одной несерверной машины с двумя картами, а вопрос и-нет фильтрации там хорошо и многосторонне проработан, есть и авторизация, например, доменная. И к нему просто платный и-нет от другого провайдера, чтоб не маяться с DNS. Неужели директор не найдет денег на платный и-нет для учителей?
Вопросы двух выходов в и-нет обсуждали тут, поищите.

[El Scorpio]

Цитата malysh!:

а можно тогда из контроллера домена сделать что-то типа dns-форвардера ? , »

Разумеется можно.
Любой DNS-сервер может осуществлять пересылку запросов для неизвестных имён сайтов.
Однако "условный сервер пересылки" работает только по именам сайтов. То есть можно, чтобы запросы для имён *.filial.local пересылались на сервер 192.168.10.1, обслуживающий домен и ЛВС филиала, в то время как остальные запросы (для имён сайтов интернета) шли на DNS провайдера.

Однако настроить то же самое, чтобы запросы пересылались

Цитата malysh!:

в зависимости от того, к какой группе пользователей в домене принадлежит залогинившийся на клиентскую машину пользователь»

невозможно, потому что DNS-запрос выполняется от имени системы (служба DNS-клиент) и вообще не содержит имени пользователя.

[WindowsNT]

Неверно выбрана сама идея, метод работы.

[malysh!]

El Scorpio, спасибо, по традиции всё объяснили развёрнуто и доступно,
но ответ опечалил

WindowsNT, Вы, похоже, правы
но только в чём он тогда, правильный

Цитата WindowsNT:

метод работы »

, ?

[WindowsNT]

Я бы подумал за аутентификацию пользователей. Фильтрация по IP ничего толкового не даст, а раздельная обработка DNS-запросов — это вообще не секурити ни разу.
dns вы можете менять, выдав пользователю членство в группе network configuration operators. Но всё равно надо думать за аутентификацию именно людей, а не ненадёжных игр с DNS.

[alef2474]

Цитата alef2474:

а вопрос и-нет фильтрации там хорошо и многосторонне проработан, есть и авторизация, например, доменная. »

С доменного контроллера авторизация берется автоматом.
Вот Вам и повторил Windows NT про аутентификацию. Эти решения давно проработаны и документация хорошая, сейчас меньше просто стали применять из-за ISA и др.дел. Ваш ИКС на линуксе с касперским - тот же Kerio с McAfee по идейной части только наверняка слабее по интерфейсу и функционалу.

[malysh!]

alef2474,

Цитата alef2474:

авторизация берется автоматом »

это и так понятно, все у меня аутентифицируются, не об этом вопрос
то есть, идеологически, Вы предлагаете использовать свой контент-фильтр, а не провайдера ?
если так, то тогда укажите (если возможно), как дела с базами сайтов в Kerio, или других продуктах, которые мне здесь советуют/посоветуют .
эти базы, они есть ? они кем-то поддерживаются ? они автоматически обновляются ?
я объяснюсь, тот фильтр, что сейчас предоставляет провайдер, поддерживается сообществом, более того организацией под названием ЦАИР, которая была создана по проекту Образование в нашей стране,
то есть, там есть базы запрещенных сайтов, и они автоматически кем-то поддерживаются,
вести такую базу самому - глупо, разрешать доступ только на сайты белого списка, который сам же и ведешь - ещё глупее
я вот за этот нюанс переживаю, говоря о контент-фильтре на своей территории.

Цитата alef2474:

платный и-нет от другого провайдера »

невозможен - тут деревня, тут один провайдер
и ещё один доступ в и-нет подразумевает проведение ещё одной телефонной пары от этого самого провайдера, а этого делать никто не будет
но и не нужно
у меня сейчас (и есть основания полагать, что и всегда будет) превосходно работает vpn до платного анонимайзера, и трафик по нему вполне бежит и по сети раздаётся
так что, вопрос не в том,
вопрос, может, - в том, как теперь раздать эти фильтрованный и нефильтрованный и-нет, основываясь на принадлежности пользователя к определенной группе в домене