ограничение/разграничение доступа к интернет средствами Windows 2003 Server
 

Доброго времени суток всем!

Заранее прошу прощения, если вопрос не совсем точно сформулирован, но я новичок в этом деле.

Можно ли ограничить (или разграничить) доступ к интернету средствами только Windows 2003 Server?

Имеется компьютер-сервер (Windows 2003), три клиента (WindowsXP SP2). Планируется выход в интернет через ADSL-модем типа PARADYNE. Соответственно, каким-то пользователям нужно разрешить выход в интернет, каким-то - запретить.

- нет.

monkkey, а возможно ли использование для этой цели шлюзов? (т.е. компьютеры, которые должны иметь выход в интернет, используют адрес шлюза - IP-адрес модема, а не имеющие выхода - например адрес сервера) Я просто видел такую реализацию, правда все настройки TCP\IP были прописаны вручную.

Если нет, то какое ПО возможно использовать для этих целей?

Moonlight Dragon, посмотри в сторону недорогой (бесплатной при использовании не более 3-х фильтров) софтины TMeter.

Angry Demon, благодарю за рекомендацию, обязательно попробую.

Может быть есть возможность разграничить доступ, используя разные подсети?

Тогда уж проще "запретникам" не указываать шлюз в свойствах подключения вообще. Доступа в Интернет не будет.

Angry Demon, а если IP-адреса раздаются DHCP-сервером? Как быть тогда? Ведь в этом случае, насколько я знаю, вообще всё задаётся автоматически. В т.ч. и адреса шлюза и DNS-серверов.

В этом и суть вопроса, если я правильно понимаю:-) Т.е. если вручную всё прописывать - да, вроде бы не сложно разграничить доступ. А вот если автоматически?...

Если под "пользователями" имеются в виду компьютеры, то можно попробовать настроить фильтрацию по IP. От смены IP не спасет

Dirk Diggler, да, имеются ввиду компьютеры, но при сохранении динамической раздачи IP-адресов. если можно в двух словах - как это сделать? Возможно есть способ свести пользователей с запрещённым доступом в одну группу, и уже ей на уровне ActiveDirectory или домена задать права? Я пока новичок в Windows 2003 Server.

Moonlight Dragon, запретникам выставить вручную в определённом диапазоне, а остальные пусть по DHCP получают в непересекающемся диапазоне.

Angry Demon, логично:-) Как я сам не догадался? Но защитить от смены IP уже не получится при таком варианте, если я правильно понял?

не давать пользователям локальных админских прав - и IP менять не смогут

HLT, это ясно (про права администратора), но если защититься от того, что какой-нибудь "умный" пользователь подсмотрит пароль/логин админа, то тут надо использовать стороннее ПО, причём на сервере. Не будешь же прогонять пользователей от компа с криками "Не подглядывать!":-)

ИМХО, мне казалось что серверная операционная система должна иметь какие-то инструменты для этого. Понятно, что ОС не может быть универсальным "комбайном", но всё же сеть - это же одно из главных (если не главное) назначений этих ОС. И вопрос ограничения доступа - это вопрос безопасности.

нет, этого нельзя. Можно лишь настроить фильтры входа на внутреннем интерфейсе(или выхода на внешнем, если NAT будет на модеме) - типа этому IP можно наружу, тому - нельзя. Фильтры настраиваются в оснастке "Маршрутизация и удаленный доступ".

Разумеется. Имхо вообще лучше сделать резервирование DHCP.
Если же допускается использование сторонних продуктов, рекомендую разобраться и настроить 3proxy + плагин для аутентификации в AD. На оф. сайте подробный мануал. И вообще, там, где это возможно - надо обходиться без НАТа

ISA есть именно такой инструмент серверной системы.

Dirk Diggler, благодарю за ответ. Пойду читать.

Почему нужно обходиться без NAT? Легко уязвима? И для чего служит плагин аутентификации в AD? Для привязки к пользователям либо компьютерам? (т.е. не на аппаратном, а на "человеческом" уровне?)

для прозрачной работы пользователя, дабы бедный юзер не вводил по 200 раз свои имя пароль при попытке сделать шаг влево-вправо.
А вообще, убери шлюз по умолчанию из DHCP и не будет никому инета. Если кому надо, подключайся и просто руками прописывай шлюз(через скрипт или любым другим способом)

Delirium, уууу, как всё сложно:-) Всё руками, скриптами...:-) 3proxy в этом смысле удобнее, но я пока не понял, сможет ли она работать с DHCP на сервере?

Почитайте здесь - http://www.eserv.ru/NAT
не совсем так. Авторизация все равно по HTTP, руками вбивать придется, просто пароль берется из AD, а соот-но у пользователя на вход в домен и работу в интернет всего одна пара логин/пароль, а не 2, как в случае других http-прокси.

Dirk Diggler, ну я это и имел в виду :)
Хозяин барин, я же просто предлагаю как вариант :)

Delirium, Dirk Diggler, благодарю за ответы! Надеюсь разобраться в 3proxy - главное дойти до практического применения:-) (кстати, в смысле конфигурирования программа очень напоминает BCDW от Reanimatolog - тоже нужно писать "скрипт").