Доброго времени суток всем!

Заранее прошу прощения, если вопрос не совсем точно сформулирован, но я новичок в этом деле.

Можно ли ограничить (или разграничить) доступ к интернету средствами только Windows 2003 Server?

Имеется компьютер-сервер (Windows 2003), три клиента (WindowsXP SP2). Планируется выход в интернет через ADSL-модем типа PARADYNE. Соответственно, каким-то пользователям нужно разрешить выход в интернет, каким-то - запретить.

средствами только Windows 2003 Server » - нет.

monkkey, а возможно ли использование для этой цели шлюзов? (т.е. компьютеры, которые должны иметь выход в интернет, используют адрес шлюза - IP-адрес модема, а не имеющие выхода - например адрес сервера) Я просто видел такую реализацию, правда все настройки TCP\IP были прописаны вручную.

Если нет, то какое ПО возможно использовать для этих целей?

Moonlight Dragon, посмотри в сторону недорогой (бесплатной при использовании не более 3-х фильтров) софтины TMeter (www.tmeter.ru).

Angry Demon, благодарю за рекомендацию, обязательно попробую.

Может быть есть возможность разграничить доступ, используя разные подсети?

Может быть есть возможность разграничить доступ, используя разные подсети?
Тогда уж проще "запретникам" не указываать шлюз в свойствах подключения вообще. Доступа в Интернет не будет.

Angry Demon, а если IP-адреса раздаются DHCP-сервером? Как быть тогда? Ведь в этом случае, насколько я знаю, вообще всё задаётся автоматически. В т.ч. и адреса шлюза и DNS-серверов.

В этом и суть вопроса, если я правильно понимаю:-) Т.е. если вручную всё прописывать - да, вроде бы не сложно разграничить доступ. А вот если автоматически?...

Соответственно, каким-то пользователям нужно разрешить выход в интернет, каким-то - запретить. »
Если под "пользователями" имеются в виду компьютеры, то можно попробовать настроить фильтрацию по IP. От смены IP не спасет

Dirk Diggler, да, имеются ввиду компьютеры, но при сохранении динамической раздачи IP-адресов. если можно в двух словах - как это сделать? Возможно есть способ свести пользователей с запрещённым доступом в одну группу, и уже ей на уровне ActiveDirectory или домена задать права? Я пока новичок в Windows 2003 Server.

Moonlight Dragon, запретникам выставить вручную в определённом диапазоне, а остальные пусть по DHCP получают в непересекающемся диапазоне.

Angry Demon, логично:-) Как я сам не догадался? Но защитить от смены IP уже не получится при таком варианте, если я правильно понял?

защитить от смены IP уже не получится при таком варианте, »
не давать пользователям локальных админских прав - и IP менять не смогут

HLT, это ясно (про права администратора), но если защититься от того, что какой-нибудь "умный" пользователь подсмотрит пароль/логин админа, то тут надо использовать стороннее ПО, причём на сервере. Не будешь же прогонять пользователей от компа с криками "Не подглядывать!":-)

ИМХО, мне казалось что серверная операционная система должна иметь какие-то инструменты для этого. Понятно, что ОС не может быть универсальным "комбайном", но всё же сеть - это же одно из главных (если не главное) назначений этих ОС. И вопрос ограничения доступа - это вопрос безопасности.

Возможно есть способ свести пользователей с запрещённым доступом в одну группу, и уже ей на уровне ActiveDirectory или домена задать права »
нет, этого нельзя. Можно лишь настроить фильтры входа на внутреннем интерфейсе(или выхода на внешнем, если NAT будет на модеме) - типа этому IP можно наружу, тому - нельзя. Фильтры настраиваются в оснастке "Маршрутизация и удаленный доступ".

Но защитить от смены IP уже не получится при таком варианте, если я правильно понял? »
Разумеется. Имхо вообще лучше сделать резервирование DHCP.
Если же допускается использование сторонних продуктов, рекомендую разобраться и настроить 3proxy + плагин для аутентификации в AD. На оф. сайте подробный мануал. И вообще, там, где это возможно - надо обходиться без НАТа

серверная операционная система должна иметь какие-то инструменты для этого »
ISA есть именно такой инструмент серверной системы.

Dirk Diggler, благодарю за ответ. Пойду читать.

Почему нужно обходиться без NAT? Легко уязвима? И для чего служит плагин аутентификации в AD? Для привязки к пользователям либо компьютерам? (т.е. не на аппаратном, а на "человеческом" уровне?)

для чего служит плагин аутентификации в AD »
для прозрачной работы пользователя, дабы бедный юзер не вводил по 200 раз свои имя пароль при попытке сделать шаг влево-вправо.
А вообще, убери шлюз по умолчанию из DHCP и не будет никому инета. Если кому надо, подключайся и просто руками прописывай шлюз(через скрипт или любым другим способом)

Delirium, уууу, как всё сложно:-) Всё руками, скриптами...:-) 3proxy в этом смысле удобнее, но я пока не понял, сможет ли она работать с DHCP на сервере?

Почему нужно обходиться без NAT? »
Почитайте здесь - http://www.eserv.ru/NAT
для прозрачной работы пользователя, дабы бедный юзер не вводил по 200 раз свои имя пароль при попытке сделать шаг влево-вправо. »
не совсем так. Авторизация все равно по HTTP, руками вбивать придется, просто пароль берется из AD, а соот-но у пользователя на вход в домен и работу в интернет всего одна пара логин/пароль, а не 2, как в случае других http-прокси.

Dirk Diggler, ну я это и имел в виду :)
уууу, как всё сложно:-) Всё руками, скриптами...:-) »
Хозяин барин, я же просто предлагаю как вариант :)

Delirium, Dirk Diggler, благодарю за ответы! Надеюсь разобраться в 3proxy - главное дойти до практического применения:-) (кстати, в смысле конфигурирования программа очень напоминает BCDW от Reanimatolog - тоже нужно писать "скрипт").