Сервер w2k3 +AD.
Нужно вырубить полный доспуп кроме почты(почтовый сервер находится на сервере терминало).
Иса сервер пока поставить возможности нет.

Можно включить "Ограничение доступа к информации, получаемой из Интернета" на каждом IE у нужных пользователей. Меню "Сервис" --> "Свойства обозревателя" --> закладка "Содержание".:ok:

а как запретить инсталяцию новых броузеров?

Если у юзера права юзера, то он ничего не может установить :)

Насчет других браузеров... их не всегда обязательно инсталить...
А почему бы не поставить файрвол и
а) блокировать \ разрешать им
б) посадить юзеров на мейлеры типа ЗеБат и любой другой софт блокировать в принципе.
ИМХО вполне жизнеспособно..

Насчет других браузеров... их не всегда обязательно инсталить...
А почему бы не поставить файрвол и
а) блокировать \ разрешать им
б) посадить юзеров на мейлеры типа ЗеБат и любой другой софт блокировать в принципе.
ИМХО вполне жизнеспособно..
МАил клиенты уже есть - аутглюк!
есть майл сервер с которого аутглюки качают почту - проблема в аутентификации пользователей когда они работают в терминале - т.е. они все сидят на сервере и с него лезут в нет получается что у них один айпи - пробовал ставить лан2нет и аутентифицировать их по АД но система глючно работает на форуме проги мне сказали что у них этот механизм еще работает глючно, по-этому скорее всего работать не будет. Такая же примерно ситуация и с остальными фаерволами.
отключть им доступ в сеть с локальных компов просто и уже сделанно. А вот с терминалкой не знаю что делать - у кого был опыт подскажите что-нибудь рабочее.
Ситуация примерно следующая:
РОутер Мту прикреплен к сети хабом от которого идут шнурки к серверу и к остальным компам.
на сервере одна сетевух и инет траф и локальный идет через нее.
Нужно ряду пользователей термина отрубить доступ в нет полностью и оставить тока доступ к майл серверу - который нах на сервере терминалов. Группе пользователей оставить полный доступ в сеть. воть!

Поставь ISA server, если так хочешь разганичить доступ.

foss: сначала читаем, а только потом пишем:
qpa3epИса сервер пока поставить возможности нет (http://forum.oszone.net/showpost.php?p=399949&postcount=1).

Можно попробовать через локальную политику отключить доступ к настройке подключения IE:
gpedit.msc->Конфигурация пользователя->Административные шаблоны->Компоненты Windows->Internet Explorer->Панель управления обозревателем->Отключить страницу подключение->Включить

XPurple
Хороший вариант - одного никак понять не могу - я находясь за консолью сервера под учетной записью Админа - редактирую локальную политику безопастности и изменения действуют на всех пользователей и меня включительно - допустим ваш способ отключает закладку на всех эксплорерах и на моем как мне отредактировать конкретную локальную политику для пользователя домена?
Доступ к локальной политике на его машине ограничен, а если я зайду под админским логином - то получится тот же вариант что я буду это делать с консоли сервера???
Объясните плиз - очень интересует этот вопрос.

qpa3ep Для этого тебе нужен домен. тогда ты можешь применять групповые политики для отдельных пользователей.

Домен есть!!!!!!
где изменять политики для пользователей?

то получится тот же вариант что я буду это делать с консоли сервера???
Да. К терминальным пользователям применяются те же политики, что и к локальным ( или, как вы это называете, "консоль сервера").

где изменять политики для пользователей?
Заходишь в AD. выбираешь юнит, правой клавишей св-ва. груповая политика ---> создаешь новую и там изменяешь.

XPurple
Это я уже заметил ;-) А как настраивать для разных пользователей терминала свои политики безопасности?

foss
Там нету групповой политики.

Можно в оснастке "Пользователи и компьютеры" создать контейнер (подразделение), поместить в него пользователей и присвоить контейнеру новую политику.
Сам не делал, но прокатить должно.

Добавлено
Я проверил, работает.

qpa3ep Создать надо, там кнопочка есть: новая ;)

foss
У меня то же самое выполняется кнопкой "Создать". Может версии разные ?