Контроллер домена, DNS-сервер и OpenDNS - пользователь блока 1?

Question

Контроллер домена, DNS-сервер и OpenDNS - пользователь блока 1?

У нас есть контроллер домена (Windows Server 2008R2), который также является нашим DNS-сервером. DNS-сервер имеет сервер пересылки, который указывает на OpenDNS (www.opendns.org).

Все наши рабочие станции (Windows XP Pro) настроены так, чтобы указывать на наш локальный DNS-сервер. Я не хочу продолжать блокировать отдельные веб-сайты для всех пользователей, потому что это становится немного грязным.

В идеале я хотел бы разрешить использование практически всех веб-сайтов (за исключением некоторых категорий в OpenDNS по соображениям безопасности), а затем, если / когда руководство решит, что пользователь пользуется свободой, я смогу заблокировать его доступ в Интернет на X дней.

Это возможно с Active Directory? Может быть, что-то в профиле пользователя?

Я понимаю, что существует много споров о том, являются ли такие проблемы техническими или управленческими. Я пытаюсь предоставить больше доступа всем нашим сотрудникам, но оставляю возможность временно ввести полный блок для отдельных пользователей. Например, если пользователь посещает Facebook один или два раза в день, но это не влияет на его работу, тогда это нормально. Однако, если пользователь остается на Facebook весь день, я бы хотел заблокировать его интернет после обсуждения с руководством, а затем разблокировать его через несколько дней и посмотреть, усвоен ли урок на какое-то время.

1

domain-name-system windows-server-2008-r2 internet opendns

Источник

dannymcc 30 июл '11 в 18:40

1 ответ

Решение

Другие вопросы по тегам domain-name-system windows-server-2008-r2 internet opendns

Evan Anderson 30 июл '11 в 19:21 2011-07-30 19:21 · Accepted Answer · 2011-07-30 19:21

Мне немного стыдно признать, что я делал это раньше, но "самый дешевый" способ, которым я нашел это (предполагая, что пользователь не может установить или иным образом использовать стороннее программное обеспечение для веб-браузера), заключается в использовании Групповая политика для настройки Internet Explorer, для нарушающего пользователя, использовать фиктивный прокси-сервер HTTP / HTTPS (то есть IP / порт, который не отвечает - предпочтительно тот, который фактически отклоняет попытку соединения TCP). Я поместил "разрешенные" сайты в список обхода прокси.

Это очень "дешевый" способ сделать то, что вы ищете, и его очень легко обойти, если пользователь может установить или использовать стороннее программное обеспечение для браузера.

Один из "правильных" способов сделать это - принудительно использовать исходящий HTTP / HTTPS через прокси-сервер, который допускает ACL для каждого пользователя. Squid с NTLM-аутентификацией может сделать это без затрат на лицензирование программного обеспечения и может обеспечить довольно приятную прозрачную аутентификацию для присоединенных к домену компьютеров Windows, получающих доступ к веб-сайтам через него.