Форум администраторов Windows

Серверные системы Microsoft => Windows Server 2008 => Тема начата: unnochee от 27 Ноябрь 2012, 17:35:18

Название: Блокировка интернета у непривилегированных пользователей
Отправлено: unnochee от 27 Ноябрь 2012, 17:35:18
В общем задача вроде как тривиальная, ноу меня возникли трудности.
Есть  windows server 2008 R2 на нем установлен терминальный сервер лицензирования. Добавил 20 пользователей. Нужно заблокировать им доступ интернет, а у администратора что бы работал. 
 
Название: Re: Блокировка интернета у непривилегированных пользователей
Отправлено: dimokkk от 27 Ноябрь 2012, 18:51:14
Хорошо бы понять как вообще организован доступ в Интеренет. Через прокси или напрямую?
Подразумевается, что настройка ведется именно для терминального сервера? Т.е. с терминального сервера выход в интеренет должен доступен только админу?
Название: Re: Блокировка интернета у непривилегированных пользователей
Отправлено: unnochee от 27 Ноябрь 2012, 22:04:55
Доступ организован напрямую,
доступ должен быть доступен админу и еще одному пользователю.
Название: Re: Блокировка интернета у непривилегированных пользователей
Отправлено: itpro от 28 Ноябрь 2012, 08:24:50
В заданных условиях это сделать достаточно сложно.
Самый простой способ разграничить доступ - поставить на отдельной машине прокси сервер с NTLM авторизацией и раздавать доступ в инет через группы AD.

Есть, конечно, вариант с созданием политики, запрещающей пользователям запуск любых программ, кроме заданных (технологии AppLocker  (http://winitpro.ru/index.php/2011/10/22/applocker-v-windows-7-blokiruem-storonnie-brauzery/)), или Software Restriction Policy, что больше понравится),  а в Explorer настроить по статье Как запретить или разрешить доступ к определенным сайтам в Internet Explorer (http://winitpro.ru/index.php/2011/10/25/kak-zapretit-ili-razreshit-dostup-k-opredelennym-sajtam-v-internet-explorer/). Но такой вариант ограничения доступа не очень удобен, и при желании пользователь может его обойти.

Название: Re: Блокировка интернета у непривилегированных пользователей
Отправлено: dimokkk от 28 Ноябрь 2012, 08:46:00
Правильнее всего было бы поставить отдельную проксю и раздавать доступ на ней.

Надежность всех остальных способом ИМХО зависит от подкованности ваших пользователей.
Можно политикой задать всем пользователям неправильные настройки IE и запретить их менять (на нужных пользователей политика не будет распространяться) и запретить юзерам запускать другие браузеры (не спасет от запуска portable браузера с переименованным исполняемым файлом).