Форум администраторов Windows
Серверные системы Microsoft => Windows Server 2008 => : unnochee 27 Ноябрь 2012, 17:35:18
-
В общем задача вроде как тривиальная, ноу меня возникли трудности.
Есть windows server 2008 R2 на нем установлен терминальный сервер лицензирования. Добавил 20 пользователей. Нужно заблокировать им доступ интернет, а у администратора что бы работал.
-
Хорошо бы понять как вообще организован доступ в Интеренет. Через прокси или напрямую?
Подразумевается, что настройка ведется именно для терминального сервера? Т.е. с терминального сервера выход в интеренет должен доступен только админу?
-
Доступ организован напрямую,
доступ должен быть доступен админу и еще одному пользователю.
-
В заданных условиях это сделать достаточно сложно.
Самый простой способ разграничить доступ - поставить на отдельной машине прокси сервер с NTLM авторизацией и раздавать доступ в инет через группы AD.
Есть, конечно, вариант с созданием политики, запрещающей пользователям запуск любых программ, кроме заданных (технологии AppLocker (http://winitpro.ru/index.php/2011/10/22/applocker-v-windows-7-blokiruem-storonnie-brauzery/)), или Software Restriction Policy, что больше понравится), а в Explorer настроить по статье Как запретить или разрешить доступ к определенным сайтам в Internet Explorer (http://winitpro.ru/index.php/2011/10/25/kak-zapretit-ili-razreshit-dostup-k-opredelennym-sajtam-v-internet-explorer/). Но такой вариант ограничения доступа не очень удобен, и при желании пользователь может его обойти.
-
Правильнее всего было бы поставить отдельную проксю и раздавать доступ на ней.
Надежность всех остальных способом ИМХО зависит от подкованности ваших пользователей.
Можно политикой задать всем пользователям неправильные настройки IE и запретить их менять (на нужных пользователей политика не будет распространяться) и запретить юзерам запускать другие браузеры (не спасет от запуска portable браузера с переименованным исполняемым файлом).