Rezor666, в общем наверное обойдусь только блокировкой диска С и сайтов

у пользователей вход пойдут proxy и vpn, а их уже придеться блочить с помощью эвристики, Layer7 и SRP »
зачем так сложно? на фаерволе запрещается весь исходящий трафик, кроме с машины со сквидом. + исключения для начальства, админов и спец-программ.
и добавлю настройку squid 3 с одной сетевой картой в домене (http://exonix.ru/#!Статьи.Прокси_сервер_Squid_и_Active_Directory.AD_2008_R2_(2012)_-_Kerberos_-_Squid_3'1). Может работать на виртуальной машине. Зависит от нагрузки.
Начальник сам разрешил заняться этим. »
странный начальник... он должен был не разрешить, а должен был поставить вам эту задачу как первоприоритетную!
И вообще, если это не троллинг, как вы прошли через проверку 152 закона об охране персональных данных (http://ru.wikipedia.org/wiki/%D0%A4%D0%B5%D0%B4%D0%B5%D1%80%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9_%D0%B7%D0%B0%D0%BA%D0%BE%D0%BD_%C 2%AB%D0%9E_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0% BD%D0%BD%D1%8B%D1%85%C2%BB)?

зачем так сложно? »
Потому что надежно.
Лучше один раз преодолеть сложность чем потом изобретать костыли потому что vpn пустили по 3128 порту, про прокси вообще молчу.

Собираетесь устроить им праздник — сначала сократите до пяти минут, а затем, по многочисленным просьбам трудящихся, вернёте вобрат ? »
Не, мне и так пришлось время увеличивать т.к было много жалоб.
А вообще странные люди... Видимо из машины ключи тоже не вынимают когда на 10 минут в магазин уходят...

А после праздников их ждет squid + dansguardian, SRP и прочие админские радости :)

Лучше один раз преодолеть сложность чем потом изобретать костыли потому что vpn пустили по 3128 порту »
та к я и говорю про один раз - выход в интернет только через прокси.
клиент не сможет со своего компьютера подключится по VPN, потому что у него не будет выхода в интернет без прокси. А пустить клиента VPN через прокси - это как вы прокси сервер настроите...

Заметил что все лазят где хотят в интернете качают все что хотят и т.д. хочу им сделать такую пакость »Не понимаю - зачем это делать, если нет указания сверху? Просто для проявления собственного чувства власти? Есть отдел безопасности у вас?

Себе-то вы не будете резать интернет, как другим, не правда ли?

Можно на прокси прописать Яндекс.DNS.
Можно блокировать порнуху и вредоносные ресурсы через Каспера, например. Варианты есть.

Надо выносить вопрос на согласование и выпускать регламент. Сначала административные меры, и только потом уже технические.

mseregax100, "проблема", которая описана тобой-типична,так делают все! а тебя что, "жаба" душит от того что люди на халяву лазят в сети? ты оплачиваешь трафик? или хочешь показать, какой ты "крутой" и нажить себе врагов? во всяком случае эту твою "проблему" должен решать начальник конторы, но не ты! и не надо с первых дней работы так ставить себя перед людьми, они тебе еще пригодятся....

Ну право, коллеги, вы чего набросились на ТС? Автору советую сначала получить приказ от руководства, в идеале вообще издать локальный акт нормативный за подписью Вашего шефа и руководителя организации. А вот уже потом думать о технической составляющей вопроса. Из личного опыта: пока не пришел руководитель адекватно оценивающий работу Ит-подразделения, результат был нулевой. Сейчас обстановка гораздо комфортнее, работать стало значительно приятнее и интереснее.

Теперь о блокировках сайтов. С одной стороны это правильно, не надо на работе в контакте сидеть, играть в танчики и глядеть немецкое кино про сантехников. С другой стороны блокировать всё и вся это нехорошо. Помимо того, что к Вам будут плохо относиться коллеги (а это будет 100%). Всегда можно найти обходной путь. Например, телефон с интернетом, планшет, 3 или 4джи модем и личный ноутбук. Вы должны мотивировать людей (вернее не Вы, а соответствующие службы). Идти против запретов это наше всё, воспитание видимо такое. А поскольку у каждого дома есть компьютер, то это автоматически превращается его владельца в админа 80 уровня.

Резюмирую. Начните с бумаг и поддержки руководства, но лучше мотивируйте сотрудников.

Уважаемые коллеги,
Вы не забыли о том что такое должность "Системного администратора"? Это не человек который должен мотивировать сотрудников, а человек который должен заниматься серверами и решением технических проблем.
Разрешать пользователям использовать интернет по их усмотрению не только влечет сокрощение выпоненой работы, но и нарушает безопасность предприятия.
Хотят танки и vk? Пускай пишут служебку на внос личного ноутбука и использование его в личных целях в рабочее время и все это за подписью директора и службы безопасности.
А про согласие директора на блокировку я даже бы не заикался, достаточно ему один раз принести распечатку трафика за месяц.

Rezor666, Вы видимо не работали в госучреждении не разу. Это особенная культура. Другое дело, что сисадмину не надо путать личное и работу - а то как бывает, Васе танки, а Мише - нет ибо он недруг. Еще раз - обойти можно ВСЁ, при желании.

PS Не соглашусь, что сисадмин не должен мотивировать, хотя бы в части компьютерной мотивации. Помню один сотрудник у нас выключал ПК напрямую из розетки, ссылаясь "я лома так делаю и ничего", и мотивировали мы его долго и безрезультатно. Особенно он испугался, когда его данные "пропали". Вот это была мотивация )))

ТС еще раз - узнайте мнение руководителя и своего непосредственного начальник, от последнего лучше получить указание в письменной форме.

Rezor666, вашими устами да мёд бы пить! Всё правильно, но, как правило, право принятия решений имеют люди, которые технически не подкованы. И действовать через их голову чревато потерей места работы. Только убеждение и только действия в рамках существующей ситуации.

Rezor666, Вы видимо не работали в госучреждении не разу. »
Работал.
Это особенная культура »
Ничего особенного, было тоже самое что и везде.

и мотивировали мы его долго и безрезультатно »
Я бы просто заставил писать служебку.

но, как правило, право принятия решений имеют люди, которые технически не подкованы. »
Как правило я показываю директору месячный отчет и говорю
"Вася играл в такнки - просрали договор
Миша сидел в vk - потеряли клиента
Олег - остовался после работы, получал за это деньги, смотрел порно вместо работы"

После этого даже до самых тугих доходило очень быстро.

Но вот на новом месте работы у меня тоже есть проблемка...
Я запрещаю, другой администратор разрешает и аргументирует это тем что не надо сразу так строго. Видимо его устраивает ему сейчас на шею сели.
И вот из-за этой фигни у нас сейчас вирус по сети, после праздников буду ужесточать правила.

Rezor666, у меня к вам один вопрос: Вы в рабочее время сидите на форуме, личную почту смотрите и т.п.?

topotun32, Да.
Только я не играю, не сижу в вконтакте, не смотрю ютуб, не забиваю на работу, не качаю всякую хрень и не бегу потом к админам со словами "оно само сломалось".
Или вы думаете что я настолько изверг? :)
Если пользователь будет готов САМ обеспечить бесперебойную работу своего ПК и взять на себя полную ответственность за это то я с радостью ему открою ему все на свете.

Rezor666, по многим словам я с вами более чем согласен. Потому и решил этим заняться. С остальными учасниками что хочу сказать, как со мной люди ведут себя так и я с ними. Я не всем буду запрещать лазить где не нужно но и в тоже время я должен знать что и где они делают на своих компах. Ибо они качнут фильм принисут флеху с дома а там куча вирусни и что потом мне сидет разгребать.

со мной люди ведут себя так и я с ними »
Не надо так.
Запомните что Вы с ними лишь коллеги и не более того, а на все их выходки и провокации смотрите сквозь глаза.
Самая большая ошибка многих администраторов это когда они себе заводят любимчиков и врагов, с этого начинаються все беды и плохое отношения к Вам.

По поводу деталей начните сначала с
1- Сменить все пароли
2- Забрать права администратора у пользователей
3- Ввести всех в домен (если этого не сделано)
4- Настроить основной шлюз сети и сделать связку squid+dansguardian
5- Настроить политику "Ограниченного использования программ"
а потом
Начните с бумаг »

как со мной люди ведут себя так и я с ними »
Я не всем буду запрещать лазить где не нужно »
Хороший подход, т.е. нормальный интернет будет у того, кто тебе будет "лизать зад".
в тоже время я должен знать что и где они делают на своих компах »
Молодец, и это правильно!!! Если что, то можно будет "настучать" начальству на тех, кто плохо тебе "лижет зад".
Ибо они качнут фильм принисут флеху с дома а там куча вирусни и что потом мне сидет разгребать »
Для работы флешка не используется вообще, на них только фильмы можно перекачивать, так что ли? Щас дома у всех есть интернет и фильм в среднем перекачивается за 10-15 мин.

zai, не у всех есть дома интернет у нас это 1е, а 2-е у меня нету любимчиков. Как сказал Rezor666, это мои колеги. Я не собераюсь стучать никому. Я просто хочу быть нормальным сис.админом который занимаеться безопасностью компьютеров, а не ждем пока ему скажут а не порали нам защитить нашу сеть...
Rezor666, Можна как то интрукцию по этому поводу:
3- Ввести всех в домен (если этого не сделано)
4- Настроить основной шлюз сети и сделать связку squid+dansguardian
5- Настроить политику "Ограниченного использования программ"

3. Домен - это создать группу или как?
4. Вобще не знаю о чем идет речь.
5. Это все делать в "Локальная политика безопасности"?

3- Ввести всех в домен (если этого не сделано) »
Мда... До хорошего админа Вам как до небес...

3. Домен - это создать группу или как? »
Роль контроллера домена: Настройка контроллера домена (http://technet.microsoft.com/ru-ru/library/cc779648%28v=ws.10%29.aspx)
4. Вобще не знаю о чем идет речь. »
Ссылки я приводил, читайте.
5. Это все делать в "Локальная политика безопасности"? »
Это делаеться в групповых политиках на контроллере домена.

P.S Как Вас вообще взяли штатным админом если Вы не знаете что такое контроллер домена?

Домен - это создать группу или как? »
Первым делом нужно заняться самообразованием, а не безопасностью, т.к. с такими знаниями админами не работают. Остается загадкой кто тебя взял на эту работу!!!

Когда я пришёл на свою первую работу, где у меня в трудовой было написано "системный администратор", я тоже не знал, что такое домен. Но там его и не было. Потом я купил книжку по MSCE 2003, и уже сделал домен, автомонтирование сетевых дисков, общее хранилище документов и т. п.