[zavoruev]

Цитата Denis Dyagilev:

Давайте закончит на этом оффтоп. »

ОК)

Цитата Denis Dyagilev:

Forefront TMG уже не продается, если что. »

Этот вопрос беспокоит многих, и нужны пути решения или выхода из данной ситуации)! Хотя Гартнер уже дает нам возможность выбрать) http://blog.trinitygroup.ru/2013/10/blog-post.html

Цитата exo:

я надеюсь в новом сервере\клиенте будет развитие этих инструментов. »

Хотелось бы) посмотрим что скажет новый SEO мелкомягких!

[fcdm25]

Цитата zavoruev:

Это университет)! причем как пишет автор, статус Федерального еще не присвоили! От куда там тайны и ФЗ всякие))))) Ректору главное бабло что бы капало)))! В таких нужны административные регламенты, а не энтузиазм работников! »

У нас федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «*********»

Цитата cameron:

я вот не могу понять, что за универ у нас имеет 4к хостов

Штатных хостов у нас около 2,5к

Цитата zavoruev:

Forefront TMG уже не продается, если что »

Это я в курсе. Для него сделал отдельный сервер на 2008R2, так как на 2012R2 он не встал, а покупать мы его не собираемся у нас он(TMG) доступен по подписки MSDN

Цитата exo:

у WS 2012 R2 есть несколько штатных средств для блокирования трафика по пользователям, но они или не подходят автору по тому, что ещё не очень развиты, или у автора пользователи очень "развиты". »

Вы не могли бы рассказать по подробнее про эти средства или хотя бы написать их названия?

Вся проблема в том, что наш отдел это сборище самоучек. В основном там работают студенты этого ВУЗа(ведущий вуз России в области менеджмент-образования(wiki)), соответственно IT-шников там не готовят. Еще 2 человек из технических вузов (вкл. меня(я сетевик, второй ИБ). Работают у нас люди в возрасте от 20 до 23 лет, нашему начальнику чуть, чуть не хватает до 30, сам когда то работал у нас в отделе.
Мы в 6-ом делаем все, что связанно с компами (кроме существенного ремонта(пайка, замена деталей в МФУ, заправка картриджей) это - Настройка цисок, администрирования VMware vSphere, установка винды, помощь юзверам с офисом, подключения 1С, Консультант+, протяжка витух, конфиганья серваков, подключения принтеров, замена картриджей, вытаскиваем замятую бумагу из них.
Но при этом руководству на нас наплевать и какие то нормативные документы для нас писать никто не будет , а рулить такой сеткой без домена проблемно. Но пользователям он не нравиться и из за этого нам приходиться прибегать к таким мерам. Вирьё которого в сети навалом и мы просто физически его пока не в состоянии вылечить, так как на компах у всех бардак, некоторые вообще без нашего ведома сносят антивирусы, чтобы компы не тормозили. Недавно на одном из серваков одного из подразделений нашли порнухи на 500ГБ, когда решили освободить место на СХД в связи с его нехваткой. Да и на office 2007 народ еле переезжает, а потом кричит : "Почему у меня .docx не открывается(ставим для этого дополнения к MS office 2003)"

Сейчас ищу решения как в AD пропарсить пользователей из 1С. Для этого буду использовать MS PowerShell, начал его изучать, думаю к концу следующей недели спарсить всех пользователей

Поэтому и не хочется, чтобы все были напрасно и домен опять развалился

[exo]

Цитата fcdm25:

Вы не могли бы рассказать по подробнее про эти средства или хотя бы написать их названия? »

один из: Firewall. Вы можете запретить исходящий трафик 80 (443) порт(-ы) и указать для каких пользователей применить правило firewall.
Увы, работает только для пользователей, которые работают за этим компьютером\сервером локально или через RDP.
Т.е. если сделать роутер RRAS из WS 2012 - работать не будет... Вот, хотелось бы чтобы было развитие связки клиент-RRAS-Firewall. Может клиент какой будет для Windows 9... Но это уже фантазии.

в другом не уверен, но предположу: IPsec.
- сделать шлюзом WS 2012
- убрать возможность ввода в домен не административным у.з.
- убрать у пользователей права администраторов
- разрешить подключения к WS 2012 только доменных компьютеров (собственно, только их и можно настроить через групповые политики на подключение к серверу через IPsec)
но RADIUS сервер, думаю, проще в плане настройки...

я думаю, что в вашем случае, лучше всего будет сделать следующее:
- на шлюзе запретить для всех хостов исходящий на порты 80 и 443, кроме:
- разрешить одному серверу выход в интернет (и другим, вроде Exchange)
- на сервере настроить любой бесплатный\платный прокси сервер с авторизацией в домене.