[brass_net]

Без стороннего софта нет.

[zai]

Настрой на сервере (в DHCP) резервирование для клиентов, которым нужно запретить (разрешить) выход в интернет, а в Циске забей этот интервал IP адресов и запрети (разреши) им доступ (закрой все порты или оставь только нужные, например почту) в интернет.

[vitozillo]

Цитата zai:

Настрой на сервере (в DHCP) резервирование для клиентов, которым нужно запретить (разрешить) выход в интернет, а в Циске забей этот интервал IP адресов и запрети (разреши) им доступ (закрой все порты или оставь только нужные, например почту) в интернет. »

Резервирование не подходит. Парк ПК достаточно большой (около 300), а сетевое оборудование так же используют другие управления.

[brass_net]

IMHO поставить на любом старом железе *nix систему, поднять squid и забыть о нем навсегда. Не подходит такой вариант - под винду полно всевозможных proxy и шлюзов.

[exo]

возможно можно попробовать поиграться с фаерволом.. там есть три профиля. возможно компьютеры вне домена будут вне профиля "домен"...

Цитата brass_net:

под винду полно всевозможных proxy »

Цитата brass_net:

поднять squid »

http://www.tmeter.ru/misc/squid/

[zai]

Цитата vitozillo:

Парк ПК достаточно большой (около 300) »

Microsoft Forefront TMG или что нибудь попроще, например Traffic Inspector

[vitozillo]

Вопросы и ответы не по теме пошли.
Спасибо за ответы по теме! ( С Traffic Inspector знаком. Попробую настроить через Threat Management Gateway.)

Вопрос:
Можно ли средствами windows добиться что бы интернет получали только пользователи домена? Если можно, то как?

Ответ:

Цитата brass_net:

Без стороннего софта нет. »

Если все согласны с этим, тема решена!

[Denis Dyagilev]

Как вариант, можно рассмотреть создание на шлюзе политики IPSec, требующую проходить аутентификацию в домене.
http://technet.microsoft.com/en-us/l.../bb742429.aspx

[vitozillo]

Цитата Denis Dyagilev:

Как вариант, можно рассмотреть создание на шлюзе политики IPSec, требующую проходить аутентификацию в домене. http://technet.microsoft.com/en-us/l.../bb742429.aspx »

спасибо за ссылку, наедаюсь поможет

Брандмауэр, IPsec, RADIUS вот чем я пробовал запретить интернет пользователям не входящих в домен.

Все же попробую поиграться с TMG и буду снова пробовать настроить без стороннего софта.

нашел похожую темку и вот что там советуют:

Внедрите в домене политику IPSec с протоколом AH (чтобы не заниматься шифрованием трафика) и аутентификацией Kerberos для всего или для части IP-трафика. Тогда посторонние компьютеры точно не смогут подключиться к ресурсам домена, даже если вводить правильные логин и пароль. Для доступа в Интернет можно на втором сервере настроить VPN-сервер, так чтобы пользователи проходили аутентификацию на нем, и только через VPN-подключение получали доступ в Интернет.

Так значит все же можно обойтись без привлечения стороннего софта??