Как закрыть определенный порт на PC используя Active directory, в данном случае нужно закрыть порты 443 и 5190?
Должен ли быть включен встроенный брандмауэр на XP?
Имеется windows 2000 server. В сети компьютеры как с XP так и с windows 2000.

Поставьте отдельную машину или маршрутизатор. А ICQ закрывается другими путями.

Ну вобщем вчера в качестве экперемента закрыл порт 5190 спомощью ipsec в домене. Но достаточно поменять порт в клиенте, например на 5191 и клиент сново в сети. Имеется прокси(wingate) через который все ходят "гулять". Там имеется возможность закрыть порты. Но это будет глобально. Посколько в локалке есть еще люди которые не в домене и которые нуждаются в интернете без каких либо ограничений. Что можно придумать еще?
Каими другими путями закрывается icq?

saitser,
Однозначного ответа нет. http://www.google.ru/search?hl=ru&q=%D0%9A%D0%B0%D0%BA+%D0%B7%D0%B0%D0%BA%D1%80%D1%8B%D1%82%D1%8C+icq&lr=&aq=f&oq=

Есть еще вариант - групповой политикой блокировать запуск программы у юзера, плюс блок со стороны файерволла

блокировать запуск программы у юзера » это не выход из положения. На райняк можно имя экзешника поменять.

Однозначно нужно блочить на файрволе доступ к домену icq.com

осколько в локалке есть еще люди которые не в домене и которые нуждаются в интернете без каких либо ограничений. Что можно придумать еще? »

Зарезервировать за компами юзеров статические ip адреса (на сервере DHCP настроить резервирование или руками прописать) или вообще в другую подсеть выделить. И доступ давать на основе ip адреса или подсети.

Однозначно нужно блочить на файрволе доступ к домену icq.com »
не всё так просто... Почитайте по ссылкам monkkey, там есть список подсетей.

осколько в локалке есть еще люди которые не в домене и которые нуждаются в интернете без каких либо ограничений »
при применении доменных политик это получится автоматом - нет домена-нет политики ограничения :)

ЗЫ. Прокси+файерволл я бы поставил на отдельной машине

В общем решил зарубить icq и mail agent всем даже те кто не в домене))
На самом деле идея изначально не нравилсь ибо я за свободу, но с руководством не поспоришь.
На wingate в extended Networck в ip blackhole прописал:
64.12.0.0 - 255.255.0.0 и 205.188.0.0-255.255.0.0 и еще 152.163.208.0-255.255.255.0
Для майл агента закрыл порты: 443,2041,2042
+ еще meebo.com, 911.ru ну стандартный аськин web-сервак.
зы: самому осталась одна лазейка - через jabber, думаю скоро юзеры начитаются и потихоньку перелезут на него)))) ну и хорошо:)
Всем спасибо за помощь!!!

На райняк можно имя экзешника поменять »
А это как-то спасет ситуацию? Насколько я помню, в Software Restriction Policy ограничение на запуск можно задать по пути или хэшу файла.

Software Restriction Policy »
я вообще не думаю что это выход из ситуации т.к. клиентов icq клиентов стает все больше и больше - за всеми не уследишь. Есть и такие, которые можно с флешки запустить. Лично я склоняюсь к запрещению аси через файрвол.

А самый хороший вариант, это административное взыскание - штраф.
Руководство пишет бамажку в которой говорится, что торчать в аське запрещено. Нарушение карается штрафом. Пру человек оштрафуют другие лазить перестанут.

Но это мое личное мнение.

Я тоже поддержку придерживающихся политики централизованного отключения.

как вариант, один из старых методов - файл hosts. Добавь туда, например, 127.0.0.1 login.icq.com и ася работать не будет.