Здравствуйте. Подскажите пожалуйста, как можно запретить доступ к некоторым веб-ресурсам только для определенного круга компьютеров и определенной группы пользователей. Суть такова:
Active Directory на вин2003, установлен ISA Server. Часть компьютеров объединяю в OU. Нужно только для этой OU запретить некоторые веб-сайты.
Я НЕ МОГУ закрыть доступ для самого пользователя, потому что доступ на веб-ресурсы должен предоставляться на других компьютерах организации под этой же учетной записью. (те, которые не входят в созданый мною OU)
Я НЕ МОГУ закрыть доступ на этих компьютерах совсем, потому что под другими пользователями доступ должен предоставляться.. Вот такая вот проблема. Что посоветуете?

Насколько я понимаю, нужно определенным пользователям запретить доступ к определенным интернет-ресурсам, но только на определенных компах?

ip-адреса статические?
В этом случае создаем в ISA правило:
source - список ip-адресов неправильных компьютеров
destination - список сайтов/доменов, которые заблокировать
action - deny
применение правила - не ко всем пользователям, а к конкретной группе.
В группу включаем тех, кому надо резать доступ.

Вроде так.

НЕ МОГУ закрыть доступ для самого пользователя »
НЕ МОГУ закрыть доступ на этих компьютерах совсем »
Естественно, решений у этой задачи нет.

HLT, Да, вы все правильно поняли.
IP адреса назначаются DHCP, но я так понимаю, что продление аренды не изменит адрес. Могу ли я использовать имена компьютеров? Или каким-то образом указать маску имени компьютера? Потому что все имена имеют вид:
"номер здания-кабинет-номер компьютера".

IP адреса назначаются DHCP, но я так понимаю, что продление аренды не изменит адрес. »На всякий случай я б еще резервирование им прописал в DHCP

Могу ли я использовать имена компьютеров? »Наскоьлко я помню, нельзя. ISA работает с IP-адресами

Или каким-то образом указать маску имени компьютера? »Прописать в правиле определенный диапазон адресов, зарезервировать его в DHCP, и выдавать адреса из этого диапазона только на те компы, к которым будет применяться это правило

HLT, проблема в том, что я не администратор домена :)
А ISA видит всю структуру AD?

HLT,
Повнимательнее прочитайте первый пост.

Повнимательнее прочитайте первый пост »Прочитал =)
Насколько я понимаю, нужно определенным пользователям запретить доступ к определенным интернет-ресурсам, но только на определенных компах? »
Да, вы все правильно поняли. »


Отвлеклись на словесную перепалку :) , теперь по теме топика:

проблема в том, что я не администратор домена »Это плохо.
А ISA видит всю структуру AD? »В Исе есть сопоставление доменных пользователей/групп. То есть, например, в Исе создаем группу "denied-access-to-some-sites" и говорим, что она соответствует такой-то доменной группе.
Это вкратце. Если интересуют тонкости - надо почитать литературу про ISA.
Например, здесь: http://www.isadocs.ru/articles/

HLT,
Если Я правильно понял первый пост, то почитайте цитаты в моем посте, идущим вторым. Автор НЕ МОЖЕТ (нельзя ему по условию) закрыть доступ определенным компьютерам, т.к. на них работают пользователи, которым в Инет можно! И не может закрыть пользователям, т.к. они работают и за другими компьютерами, с которых в Инет ИМ можно! Вообще ситуация дебильная, ИМХО.

monkkey,
Вы не совсем верно поняли автора.

Говоря образными понятиями и приводя в пример детский конструктор типа "Лего", можно выразиться так:
- кубики бывают двух форм: квадратные и прямоугольные
- кубики бывают двух цветов: красные и белые
- кубики бывают двух видов: деревянные и пластмассовые

Нам нужно уничтожить все КРАСНЫЕ КВАДРАТНЫЕ ДЕРЕВЯННЫЕ кубики.
Задача, выполнимая даже для для дошкольника.

В данном случае квадратность - это принадлежность компьютера к группе "особенные"
Красный цвет обозначает принадлежность пользователя к группе "можно не всё и не отовсюду"
Материал, из которого сделаны кубики - тип интернет-ресурса (пластик - правильные сайты, дерево - порнуха)

Соответственно, нам нужно правило, которое:
1) распространяется только на определенную группу компьютеров
2) действует только на определенных пользователей
3) работает только при попытке обращения на определенные интернет-ресурсы

Поэтому сначала отправляем автора топика к своему админу с вопросом "хочу быть администратором ISA-сервера",
а потом придаем положительное ускорение в сторону букваря с описанием настройки фаервольных правил:
http://www.isadocs.ru/articles/Understanding-the-ISA-2004-Access-Rule-Processing.html

Я не совсем понимаю, что за тема про кубики... Но в общем случае задача ставится так (это для тех, кто считает, что задача дебильная).
Есть компьютерные классы, образуют домен.
Есть учетная запись "student" - типа гостевой вход.
Есть так же персональные записи для дипломников и т.д., для персонала.

Нужно сделать так, чтобы на ЭТИХ компьютерах student-у не было доступа на некоторые сайны, а персонал мог свободно посещать их... Но эти изменения не могли затронуть компьютеры ВНЕ класса, даже есть пользователь входил под student-ом.

seqular,
Еще раз Вам объясняю, что в данном контексте задача нерешаема. Если только компьютеры ВНЕ класса будут "ходить" в Инет через другой шлюз.

monkkey, Ну почему же? Если есть возможность применения групповых политик на пользователя в OU. Почему бы не создать ограничения какого либо рода посредством этих полтик? Или вы хотите сказать, что задача применения политик на конкретного пользователя в определенной OU - задача нерешаемая?

Почему бы не создать ограничения какого либо рода посредством этих полтик? »
Вы в первом посте говорите, что надо закрыть некоторые веб-сайты, а не все.
А эта задача решается ISA-сервером, который никоим образом не связан с политиками, накладываемыми на пользователей и компьютеры.
Поэтому я Вам и описал, как настроить правила на ISA.



Закрыть всё с помощью политик - легче лёгкого
Если весь интернет у вас раздается только через прокси, и нет возможности без прокси его получить - тогда можно резать политиками.

Например, всем пользователям назначить политику, запрещающую изменение любых настроек прокси-сервера, и туда же логон-скрипт, который будет прописывать параметры прокси.
Если одновременно имя пользователя = student и имя/ip-адрес рабочей станции в списке "запретных" - настройки прокси скрипт должен обнулять. И не будет инета вообще для данного конкретного юзера на данных конкретных компах.

Указанный ниже скрипт в зависимости от адреса компьютера прописывает прокси.
Для сети 10.1.1.0/24 - один прокси сервер, для сети 10.1.2.0/24 - другой, для остальных адресов прокси отсутствует, соответственно инета нет.
Остается заменить проверку ip-адреса на проверку имени компьютера, и добавить проверку имени пользователя.
И еще вместо "наш-домен.ru" (в двух местах скрипта) поставить имя вашего домена.

On Error Resume Next
strComputer = "."
ProxyFlag = 1
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colAdapters = objWMIService.ExecQuery("SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled = True")
For Each objAdapter In colAdapters
For i = LBound(objAdapter.IPAddress) To UBound(objAdapter.IPAddress)
If Left(objAdapter.IPAddress(i), 5) = "10.1." Then
IPAddr = objAdapter.IPAddress(i)
Exit For
End If
Next
Next

IPAddrCutLeft = Right(IPAddr, Len(IPAddr) - 5)
IPAddrCut = Left(IPAddrCutLeft, InStr(IPAddrCutLeft, ".") - 1)

Select Case IPAddrCut
Case "1"
pxy = "PROXY01:8080"
Case "2"
pxy = "PROXY02:8080"
Case Else
pxy = ""
ProxyFlag = 0
End Select

Set oReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\default:StdRegProv")
Const HKEY_CURRENT_USER = &H80000001
strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Internet Settings\"
oReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, "ProxyServer", pxy
oReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, "ProxyOverride", "10.4.*;192.168.*;*.наш-домен.ru;<local>"
oReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, "ProxyEnable", ProxyFlag
oReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, "EnableHttp1_1", 1
oReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, "ProxyHttp1.1", 1
strKeyPath = "Software\Microsoft\Internet Explorer\Main\"
oReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, "Start Page", "http://www.наш-домен.ru/"

Какой интересный пост. Вы не хотите попробовать вот такую штуку:

Как вам раньше писали объединить машины на который нужно закрыть сайты объединить в набор кмпьютеров пр. [Запрещенные машины] (при пом. резервирования на DHCP или вообще в др. подсеть выкинуть т.е. поделить сетку или маршрутизатором или в ису воткнуть еще одну сетевую и их туда посадить). Сделать набор запрещенных сайтов [Черный список сайтов]. И прописать правила на сервере. А пользователей, которым нужно запретить доступ объеденить в группу исы Students


---------------------------------------------------------------------------------------------
1. Правило: Запретить доступ для след. пользователей со сл. машин
---------------------------------------------------------------------------------------------
Действие ЗАПРЕТИТЬ
Протоколы: Весь исх. трафик
Откуда: [Запрещенные машины]
Куда: Внешняя (External)
Пользователи: Students

---------------------------------------------------------------------------------------------
2. Правило: Разрешить инет со всех остальных тачек
---------------------------------------------------------------------------------------------
Действие: РАЗРЕШИТЬ
Протоколы: HTTP, HTTPS (ну и что вы там еще используете)
Откуда: [Внутренняя сеть] (все компы в локалке)
Куда: [Внешняя]
Пользователи: Пользователи которым нужен нет + Students


Я думаю так будет работать.
P.S. ISA читает правила сверху вниз.