подскажите плиз, как средсвами вин 2003 сервер запретить доступ в инет конкретному пользователю домена? если можно, довольно подробно. я в этом деле еще новичок...

не говорите ему...нас сразу станет меньше :ржачь:

+1))) все равно это произойдет. не сейчас - так когода прокси настрою))))

+1))) все равно это произойдет. не сейчас - так когода прокси настрою))))

мы знакомы?:confused:

:ржачь:

наверно так же как и разрешить или там же...

разрешить это не там же где запретить...
:-)

+1 и как то народу в топе мало....

вряд ли)) ты пошутил - я продолжил. хотя все может быть

voller, ты же бываешь на RSDN - зайди там в ЧАВО, почитай как задаются вопросы...
Надоедает народ просить писать развернуто
Если у тебя нет желания все хотя бы расписать откуда появится желание что-то разъяснять?
WBR!

а что расписывать?? все и так расписано... есть домен на вин 2003 сервер. в сети 60 машин. инет нужно остваить только на 5-10 из них. соответственно на остальных - отключить. вот и спрашиваю как. для такой задачи прокси ставить не хочется, да и не нашел ничего с нормальным крэком, и чтобы при этом нормально стало.

А если ты не хочешь ставить прокси вообще (хотя глупо, они именно для этой цели и предназначены) - тогда надо хорошо настраивать групповые политики.
Но ты замахаешься раньше, чем их нормально настроишь :-)

а не легче ли взять первый пень и запроксячить его(use Linux & RTFM)

И совмещать прокси/доступ в инет с контроллером домена - неправильно это и может в перспективе многие беды принести.

to voller все-таки Slash и Nain правы. Если хочешь сделать нормальный сервис доступа в инет, а не работающий через пень-колоду, то для этого надо ставить отдельную машину, которая будет специально для этого предназначена. (Проверено на собственной шкуре... :)))

Мля, как у тебя разведен инет???
Ну и что что win2003 сервер, знаешь сколько есть прог чтобы инет развести???
Топологию сети, где и какой nat итд итп
В общем, учи матчасть и потом лезь - напорешь не того.

Slash, по хорошему совмещать контроллер домена с чем бы то ни было еще - вообщ еплохая практика :) Но на практике он чем-то еще служит обязательно, и у меня тоже :)
Работа с интернетом - худшая из возможный дополнительных обязанностей, это да :)

Мля, как у тебя разведен инет???
Ну и что что win2003 сервер, знаешь сколько есть прог чтобы инет развести???
Топологию сети, где и какой nat итд итп
В общем, учи матчасть и потом лезь - напорешь не того.

причем тут топология сети, если ограничения по айпи делатся???
и НАТ тут каким боком, если там явно видно что локальная сеть, да к тому же в одной подсети... правда ж я угадал? :) причем тут НАТ... не пойму :confused:

а вот как инет приходит это уже другое дело :)

где там явно видно что 1 подсеть? Как роздан интернет народу? Стоит прокси или nat? Все надо.
Можно рулить групповыми политиками, а можно юзать установленный софт.

подскажите плиз, как средсвами вин 2003 сервер запретить доступ в инет конкретному пользователю домена? если можно, довольно подробно. я в этом деле еще новичок...
Поставить шлюз на инет , на нем развести прокси с авторизацией .
И инет раздавать конкретным юзерам. так это делается по уму.
А по сабжу топика самое простое - каждому фаер .
Можно конечно групповыми политиками запретить запуск ишака, и запретить установку программ, но например Опера не инсталлится, и много чего еще, то есть если люди захотят , они обойдут .
Прокси ставь !

Можно политиками и файрволл настраивать при входе в сеть, и скрипт написать который будет по mac-адресу блочить (если надо конкретно по машинам), если nat - можно шлюз по умолчанию убирать. Если Стоит софт который дружить с AD можно в нем прописать правила. Можно много чего.

Можно политиками и файрволл настраивать при входе в сеть, и скрипт написать который будет по mac-адресу блочить
но сетка то нужна! Принтеры - обмен файлами .
Именно инет надо отрубить , вот в чем беда :\

так разве это беда? :)
блочим 80 порт (если нат) или порт, кторый юзает прокси - и вот оно, счастье :)
Конечно, особо продвинутые могут попробовать обойти, но это достаточно просто отследить

так разве это беда? :)
блочим 80 порт (если нат) или порт, кторый юзает прокси - и вот оно, счастье :)
Конечно, особо продвинутые могут попробовать обойти, но это достаточно просто отследить
О! Гениально!
действительно тупо закрыть порт!

Дык а как еще? Эксплорер блокировать? А если я с оперой прийду, или вообще с lynx? :D

причем тут топология сети, если ограничения по айпи делатся???
....

Не в обиду, но сразу видно Unixоида.
Под Windows (как ее не хают) - практически на всех проксях идет авторизация пользователь/пароль.
Потому что IP легко меняется или прописывается второй при желании.

Дык а как еще? Эксплорер блокировать? А если я с оперой прийду, или вообще с lynx?

Не забываем про возможность смены имени файла или даже сигнатуры при обновлении версии (если контролируется по ним) :-)

Воспаленное воображение на секунду нарисовало юзера, сидящего с эксплорером в SoftICE :D Чур меня, чур :D

Как уже писал в соседней ветке. Под 2003 (да и под 2000) сервером очень неудобно прописывать политики. Поэтому удобно заюзать Керио фаервол корпоративный (http://www.kerio.com/kwf_download.html) Он работает с авторизацией под встроенными акками домена и по айпи если надо.
+ хорошая система посчета и квотирования.
+ Имеет встроенный форвардинг ДНС и хорошую кеширующую проксю
+ Встроенный антисвайварь и т.д.
+ Простая и доходчивая система написания рулезов для NAT и открытия закрытия портов.
В общем реально удобная фича.
лекарство самое свежее для нее здесь (http://www.kerio-rus.ru/)

поднимай впн присваивай юзеру ип и блокируй на роутере этот ип

либо ставь сквид с авторизацией в ад, но так только для хттп

на сервак поставь керио или ису

а вообще действительно лучше взять пенек старый поставить туда фрю прибить фаер прокси впн и билинг