Добрый день форумчане.
Передо мной стоит задача блокировки доступа в интернет через браузеры на локальных машинах пользователей которые находятся в домене (server.vasya.local), пользователи заведены в AD в разные подразделения и группы. Необходимо закрыть доступ определенным пользователям, при этом для других пользователей сидящих время от времени на этих машинах (директор магазина например) доступ в инет через браузер должен быть открыт.
Зачем это надо? Вот сидит продавец на кассе в магазине одежды. Клиентов мало, ему становится скучно, и он начинает копаться в сети, вконтакте, одноклассники, вместо того чтобы заниматься иными рабочими вопросами.
Есть мысль попробовать блокировку по портам. В виду того, что я не шибко силен в администрировании AD, пока только втягиваюсь в работу, то не могу четко понять что мне нужно делать.
Помогите пожалуйста советом. Возможно у вас будут какие-то свои предложения и мысли по этому поводу. С радостью прочитаю.

это решается через Proxy сервер.
AD не занимается блокировкой доступа в интернет.

Роль Hyper-V+Ubuntu Server+Squid

это решается через Proxy сервер.
AD не занимается блокировкой доступа в интернет. »
Ок, я уже тоже к этому выводу успел придти, но сложность есть еще вот в чем. Есть 11 магазинов одежды, находятся они в разных городах. Таким образом придется делать 11 прокси серверов, правильно понимаю? Какие еще способы есть?

Роль Hyper-V+Ubuntu Server+Squid »
И без убунты пока голова кругом идет) ни Hyper-V, ни Squid мне не знакомы тоже.

Таким образом придется делать 11 прокси серверов, правильно понимаю? »
Да
Какие еще способы есть? »
Настроить интернет через VPN сервер, но это изврат и скорось упадет сильно.

Таким образом придется делать 11 прокси серверов, правильно понимаю? Какие еще способы есть? »
соеднить все магазины через Site-to-Site туннели и гонять интернет через головной прокси сервер.
но это изврат и скорось упадет сильно. »
это нормально. падение скорости будет мизерным.
Какие еще способы есть? »
взять готовые решения, как-то PFsense, monowall, clearos - но у них всех будут различные сложности с реализацией
при этом для других пользователей сидящих время от времени на этих машинах (директор магазина например) доступ в инет через браузер должен быть открыт. »

Мои 5 копеек по поводу squid - все сильно зависит от задач, если нужна интеграция в какой-то мере с AD (т.е. аутентификация в squid по kerberos или ntlm с учетными записями AD), редиректор (скажем rejik с набором бан-листов по категориям порно/видео/аудио/соц сети и т.д.) и т.д. - то будет сложнее, если просто зарезать несколько урлов или оставить доступ только к нескольким урлам клиентам по локальным адресам (ip) - очень просто. Как бы там ни было, когда я впервые столкнулся со сквидом, то действовал по этим статьям http://www.k-max.name/category/linux/squid/. Там все подробно разжевано и в рот положено.
P.S. там даже описана настройка прокси групповой политикой для разных браузеров.

Передо мной стоит задача блокировки доступа в интернет через браузеры на локальных машинах пользователей которые находятся в домене (server.vasya.local), пользователи заведены в AD в разные подразделения и группы. Необходимо закрыть доступ определенным пользователям, при этом для других пользователей сидящих время от времени на этих машинах (директор магазина например) доступ в инет через браузер должен быть открыт. »
1. Создать групповую политику, в которой указаны параметры локального прокси-сервера для Internet Explorer
2. В параметрах прокси настроить доменную авторизацию и с использованием чёрных и белых списков пользователей.
3. В параметрах сервера DHCP убрать "маршрут по умолчанию", либо сделать на шлюзе полную блокировку исходящего трафика для данных адресов. Потому что в противном случае пользователи будут выходить в интернет через Firefox или другой обозреватель, перекрывающий параметры групповой политики.

Ок, я уже тоже к этому выводу успел придти, но сложность есть еще вот в чем. Есть 11 магазинов одежды, находятся они в разных городах. Таким образом придется делать 11 прокси серверов, правильно понимаю? Какие еще способы есть? »
Настроить интернет через VPN сервер, но это изврат и скорось упадет сильно. »
Если у вас используется единый домен, значит эти 11 магазинов уже соединены каналами VPN в единую сеть.

1. Создать групповую политику, в которой указаны параметры локального прокси-сервера для Internet Explorer
2. В параметрах прокси настроить доменную авторизацию и с использованием чёрных и белых списков пользователей.
3. В параметрах сервера DHCP убрать "маршрут по умолчанию", либо сделать на шлюзе полную блокировку исходящего трафика для данных адресов. Потому что в противном случае пользователи будут выходить в интернет через Firefox или другой обозреватель, перекрывающий параметры групповой политики. »
использовать WPAD, а не GPO.
дальше всё ОК ;)

использовать WPAD, а не GPO. »
1. WPAD настроить гораздо сложнее
2. В любом случае пользователь может изменить настройки броузера на режим "без прокси"

что я не шибко силен в администрировании AD »
значит вам придётся научится )
вот статья (http://www.windowsfaq.ru/content/view/661/46/), как блокировать интернет с помощью политик IPSec и групповых политик. Статье правда, наверное, уже лет 10, но думаю и для 2008 сервера справедлива.
рекомендую тестировать на виртуальных машинах

2. В любом случае пользователь может изменить настройки броузера на режим "без прокси" »
не правда. Можно скрыть вкладку "Подключение" через GPO. А чтобы через реестр пользователь не мог поменять нужный параметр, забрать у них права админа. Вот и все.
Конфигурация пользователя-Административные шаблоны-IE-Панель управления обозревателем-Отключить страницу 'Подключение'

У меня вопросы к автору:
- Как раздается интернет пользователям? Опишите подробнее Вашу схему.
- Какие браузеры используется в магазинах?
- Какие права имеют ваши пользователи на ПК? Административные или пользовательские?
- Какой антивирус у вас используется? Если есть лицензия KES10 и KSC, то можно воспользоватся Веб-контролем, он может блокировать интернет по пользователям.

Цитата El Scorpio:
2. В любом случае пользователь может изменить настройки броузера на режим "без прокси" »

не правда. Можно скрыть вкладку "Подключение" через GPO. А чтобы через реестр пользователь не мог поменять нужный параметр, забрать у них права админа. Вот и все. »
Во-первых, управляемая через GPO программа Internet Explorer задаёт настройки прокси для пользователя и хранит их в реестре пользователя. То есть каждый пользователь и без прав админа может указать себе любой прокси. Так что единственным средством для блокировки данного параметра IE является определение данного параметра через групповую политику. Ну а при установленном параметре просто нет смысла скрывать данную вкладку.
Во-вторых, я писал конкретно про другие программы (Opera, Mozilla, Chrome), которые не подчиняются действию групповых политик. В этих программах пользователь может указать использование параметров IE, но также в любой момент может изменить режим работы на любой адрес прокси (в том числе внешний анонимайзер), либо явно указать режим "без прокси"

Строго говоря, существуют вполне рабочие шаблоны для chrome и mozilla. Хотя, врать не стану, последние шаблоны что я видел для mozilla были для frontmotion, который уже вроде не развивается. Может я не прав?
Если назначить в GPO прокси гугл хрому явно, то он вовсе не будет брать ее из IE, я делал через GPO разные настройки прокси для IE и chrome.

frontmotion, который уже вроде не развивается. »
Это не совсем так.