Запретить доступ к веб-сайтам для определенного списка компьютеров.

seqular · Отправлено: **14:01, 10-04-2008** | #11

Я не совсем понимаю, что за тема про кубики... Но в общем случае задача ставится так (это для тех, кто считает, что задача дебильная).
Есть компьютерные классы, образуют домен.
Есть учетная запись "student" - типа гостевой вход.
Есть так же персональные записи для дипломников и т.д., для персонала.

Нужно сделать так, чтобы на ЭТИХ компьютерах student-у не было доступа на некоторые сайны, а персонал мог свободно посещать их... Но эти изменения не могли затронуть компьютеры ВНЕ класса, даже есть пользователь входил под student-ом.

monkkey · Отправлено: **14:31, 10-04-2008** | #12

seqular,
Еще раз Вам объясняю, что в данном контексте задача нерешаема. Если только компьютеры ВНЕ класса будут "ходить" в Инет через другой шлюз.

seqular · Отправлено: **15:42, 10-04-2008** | #13

monkkey, Ну почему же? Если есть возможность применения групповых политик на пользователя в OU. Почему бы не создать ограничения какого либо рода посредством этих полтик? Или вы хотите сказать, что задача применения политик на конкретного пользователя в определенной OU - задача нерешаемая?

HLT · Отправлено: **17:42, 10-04-2008** | #14

Цитата seqular:

Почему бы не создать ограничения какого либо рода посредством этих полтик? »

Вы в первом посте говорите, что надо закрыть некоторые веб-сайты, а не все.
А эта задача решается ISA-сервером, который никоим образом не связан с политиками, накладываемыми на пользователей и компьютеры.
Поэтому я Вам и описал, как настроить правила на ISA.

Закрыть всё с помощью политик - легче лёгкого
Если весь интернет у вас раздается только через прокси, и нет возможности без прокси его получить - тогда можно резать политиками.

Например, всем пользователям назначить политику, запрещающую изменение любых настроек прокси-сервера, и туда же логон-скрипт, который будет прописывать параметры прокси.
Если одновременно имя пользователя = student и имя/ip-адрес рабочей станции в списке "запретных" - настройки прокси скрипт должен обнулять. И не будет инета вообще для данного конкретного юзера на данных конкретных компах.

Указанный ниже скрипт в зависимости от адреса компьютера прописывает прокси.
Для сети 10.1.1.0/24 - один прокси сервер, для сети 10.1.2.0/24 - другой, для остальных адресов прокси отсутствует, соответственно инета нет.
Остается заменить проверку ip-адреса на проверку имени компьютера, и добавить проверку имени пользователя.
И еще вместо "наш-домен.ru" (в двух местах скрипта) поставить имя вашего домена.

Код:

On Error Resume Next
strComputer = "."
ProxyFlag = 1
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colAdapters = objWMIService.ExecQuery("SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled = True")
For Each objAdapter In colAdapters
	For i = LBound(objAdapter.IPAddress) To UBound(objAdapter.IPAddress)
		If Left(objAdapter.IPAddress(i), 5) = "10.1." Then
			IPAddr = objAdapter.IPAddress(i)
			Exit For
		End If
	Next
Next

IPAddrCutLeft = Right(IPAddr, Len(IPAddr) - 5)
IPAddrCut = Left(IPAddrCutLeft, InStr(IPAddrCutLeft, ".") - 1)

Select Case IPAddrCut
Case "1"
	pxy = "PROXY01:8080"
Case "2"
	pxy = "PROXY02:8080"
Case Else
	pxy = ""
	ProxyFlag = 0
End Select

Set oReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\default:StdRegProv")
Const HKEY_CURRENT_USER = &H80000001
strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Internet Settings\"
oReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, "ProxyServer", pxy
oReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, "ProxyOverride", "10.4.*;192.168.*;*.наш-домен.ru;<local>"
oReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, "ProxyEnable", ProxyFlag
oReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, "EnableHttp1_1", 1
oReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, "ProxyHttp1.1", 1
strKeyPath = "Software\Microsoft\Internet Explorer\Main\"
oReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, "Start Page", "http://www.наш-домен.ru/"

artem_ · Отправлено: **20:00, 11-04-2008** | #15

Какой интересный пост. Вы не хотите попробовать вот такую штуку:

Как вам раньше писали объединить машины на который нужно закрыть сайты объединить в набор кмпьютеров пр. [Запрещенные машины] (при пом. резервирования на DHCP или вообще в др. подсеть выкинуть т.е. поделить сетку или маршрутизатором или в ису воткнуть еще одну сетевую и их туда посадить). Сделать набор запрещенных сайтов [Черный список сайтов]. И прописать правила на сервере. А пользователей, которым нужно запретить доступ объеденить в группу исы Students

Код:

---------------------------------------------------------------------------------------------
1. Правило: Запретить доступ для след. пользователей со сл. машин
---------------------------------------------------------------------------------------------
Действие ЗАПРЕТИТЬ
Протоколы: Весь исх. трафик 
Откуда: [Запрещенные машины] 
Куда: Внешняя (External)
Пользователи: Students

---------------------------------------------------------------------------------------------
2.  Правило: Разрешить инет со всех остальных тачек
---------------------------------------------------------------------------------------------
Действие: РАЗРЕШИТЬ
Протоколы: HTTP, HTTPS (ну и что вы там еще используете)
Откуда: [Внутренняя сеть] (все компы в локалке)
Куда: [Внешняя] 
Пользователи: Пользователи которым нужен нет + Students

Я думаю так будет работать.
P.S. ISA читает правила сверху вниз.