Tomsk Sysadmins Forum

Windows => Администрирование => Topic started by: distodaz on January 13, 2011, 15:41:23

Title: Как закрыть внешку через GPO
Post by: distodaz on January 13, 2011, 15:41:23: Доброго всем времени суток, подскажите как закрыть внешку от определённой группы пользователей через GPO. Win 2003. Заранее благодарю.
Title: Re: Как закрыть внешку через GPO
Post by: NoodzyK on January 13, 2011, 15:49:33: Используете ISA/FF?
Title: Re: Как закрыть внешку через GPO
Post by: distodaz on January 13, 2011, 16:46:01: Quote from: NoodzyK on January 13, 2011, 15:49:33
Используете ISA/FF?
В качестве контроллера домена используется Win 2003 R2 Standart Edition SP2, шлюз на линуксе. ISA/FF не используется.
Title: Re: Как закрыть внешку через GPO
Post by: NoodzyK on January 13, 2011, 17:03:17: В таком случае ограничивать доступ вам придется на шлюзе.
Title: Re: Как закрыть внешку через GPO
Post by: distodaz on January 13, 2011, 17:24:42: Quote from: NoodzyK on January 13, 2011, 17:03:17
В таком случае ограничивать доступ вам придется на шлюзе.
А как тогда на шлюзе распознавать группы пользователей? Это возможно?
Title: Re: Как закрыть внешку через GPO
Post by: Diver on January 14, 2011, 09:13:07: Если пользователи сидят за одним и тем же компом, то по ip.
Title: Re: Как закрыть внешку через GPO
Post by: never hood on January 14, 2011, 11:52:31: Quote from: distodaz on January 13, 2011, 17:24:42
Quote from: NoodzyK on January 13, 2011, 17:03:17
В таком случае ограничивать доступ вам придется на шлюзе.
А как тогда на шлюзе распознавать группы пользователей? Это возможно?
для этого нужно использовать прокси и выполнять на нем аутентификацию.
например, как это делается (http://www.abbris.ru/?p=scrs&s=42) в ОфисМастере (http://www.abbris.ru/?p=func).
Title: Re: Как закрыть внешку через GPO
Post by: NoodzyK on January 14, 2011, 12:04:14: Quote from: distodaz on January 13, 2011, 17:24:42
Quote from: NoodzyK on January 13, 2011, 17:03:17
В таком случае ограничивать доступ вам придется на шлюзе.
А как тогда на шлюзе распознавать группы пользователей? Это возможно?
Никак, при такой схеме этого нельзя сделать. Через GPO можно ограничить доступ в интернет вообще для определенной группы, но ограничить доступ только к внешке не получится.
Title: Re: Как закрыть внешку через GPO
Post by: SirYorik on January 15, 2011, 12:55:53: всё можно. делается прозрачная авторизация браузеров (sso) на прокси (squid, winbind, kerberos)

материалов в инете полно
http://www.lissyara.su/articles/freebsd/programms/squid+ad/
http://vladimir-stupin.blogspot.com/2010/05/squid-active-directory.html
и тд

только это не GPO будет, а просто факт членства в группе AD.
разруливать сети томск-внеха можно в squid.

аналогично группируя компы в группы AD можно давать разные профили файрвола компам (iptables, winbind, dns, cron)
Title: Re: Как закрыть внешку через GPO
Post by: .05 on January 15, 2011, 19:35:19: У вас на линупс шлюзе используется что, NAT, proxy?
Если NAT, и хотите разрулить на основе домена, то можно создать политику для "Политики безопасности IP" и настроить фильтр для запрета всего кроме локалки и томских сетей. Далее применить к OU с нужными компьютерами. К пользователям его к сожалению не применишь.
Title: Как закрыть внешку через GPO
Post by: BrezguyVsem on December 04, 2015, 17:48:41: пожалуйста, как перейти со старой версии на новую. Старая версия DOS.