отклонение доступа в Интернет в среде Active Directory

Я думаю, вы ошибаетесь. Идея uSlackr сработает. Вы можете установить прокси-сервер в групповой политике, но, как сказал Никсфо, это будет работать только для IE. Идея Никсфо нарушает функцию Active Directory, поэтому ее следует избегать. Каждый способ сделать это с помощью Active Directory будет иметь некоторые недостатки.

Решение (даже если это не тот ответ, который вам нужен) состоит в том, чтобы сделать это на вашем брандмауэре. Большинство хороших межсетевых экранов имеют возможность блокировать доступ в Интернет для группы IP-адресов. Просто убедитесь, что эти компьютеры получают правильные IP-адреса, но помещают их в свою собственную специальную VLAN на коммутаторах или создают для них резервирование DHCP.

Если это все в одной подсети, просто не настраивайте шлюз, если вы используете DHCP, или настраивайте его на что-то неверное. Компьютеры смогут поразить все в своей подсети и ничего за ее пределами ... просто.

Прежде чем мы купили программное обеспечение веб-фильтра, мы достигли этого, установив в настройках прокси пользователя несуществующий прокси. Это можно сделать с помощью параметра групповой политики или сценария входа в систему на основе пользователя. Как уже говорили другие, это будет работать только для IE и программ, использующих настройки Интернета в Windows.

Есть ли возражения против использования такого устройства веб-фильтрации, как Barracuda Web Filter ? Он поддерживает AD и, вероятно, будет более надежным решением.

Нет, вы не можете использовать тот же метод в среде активного каталога. AD полагается на DNS для правильной работы.

Пара опций, которые можно использовать вместо этого, из моей головы:

• Использовать прокси-сервер
  • Заставить всех пройти через прокси-сервер и заблокировать тех, у кого не должно быть доступа в Интернет.
• Заблокировать доступ для этих машин на брандмауэре / маршрутизаторе

В любом случае оба этих подхода будут лучшим подходом, поскольку вы можете просто иди и поставь DNS серверы в их конфиги, и твоя "защита" бесполезна.

Это будет работать только с 7 и 2008 , к сожалению, но правила брандмауэра через GPO ? Почему бы не заблокировать исходящий трафик на известных портах (80, 443) на все, что не находится в локальных подсетях для AD (если вам это нужно), и сделать это через групповую политику. Просто пришло мне в голову. Не уверен, что это так практично, потому что

Или вы можете оставить поле шлюза пустым ... AD требует DNS, но в большинстве случаев ваши машины обходятся без шлюза, если им вообще не нужен доступ к Интернету.

Вы можете использовать сценарий запуска для удаления маршрута по умолчанию.

C:\> ROUTE DELETE 0.0.0.0

Это предотвратит связь компьютера с любыми хостами за пределами локальной подсети, но по-прежнему разрешит все коммуникации в вашей локальной сети. Вы можете использовать подразделения в Active Directory, чтобы групповая политика применялась только к указанным вами компьютерам.

Вы можете использовать ISA или TMG с интеграцией AD, используйте правило для разрешения доступа в зависимости от членства в группе AD "доступ в Интернет". Включите конфигурацию WPAD в DNS, чтобы конфигурация не требовалась для всех устройств и браузеров конечных пользователей.

Итак, вы можете настроить DNS-серверы AD изнутри, чтобы не пересылать запросы на корневые DNS-серверы, что даст вам такой же эффект; вам нужно будет поместить DNS-серверы AD в конфигурацию DNS клиентов, но разрешение DNS не сможет пойти дальше. Однако это очень слабый способ блокировки доступа в Интернет, так как ваши пользователи смогут запомнить адрес DNS-сервера (например, Google, 8.8.8.8), а затем использовать nslookup для разрешения DNS-запросов путем hand.

Если вы все же хотите продолжить, вот как включить пересылки (выключить их, конечно), а вот как управлять корневыми подсказками (удалите их полностью).