Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   Запрет использовать инет пользователям находящимся вне AD (http://forum.oszone.net/showthread.php?t=276597)

fcdm25 27-01-2014 21:11 2297481

Запрет использовать инет пользователям находящимся вне AD
 
Здравствуйте, на предприятии решили 2-ой раз ввести AD, первый развалился через 1,5 года из за того, что юзверы стали переставлять винду и работать под локальными учетками, а админов мало 6 человек на 3000 хостов в итоге домен перестал использоваться. На данный момент поднят домен на WS2012R2, но не хочется наступать на одни и те же грабли и поэтому решено пользователям отключать инет, если они зашли под локальной учетной записью. Слышал, что можно это сделать на MS TMG2010(Бывший ISA). Есть ли какие нибудь решения штатными средствами WS2012R2? А если нет, то как это делает TMG2010?

exo 27-01-2014 23:12 2297548

Цитата:

Цитата fcdm25
если они зашли под локальной учетной записью. »

http://technet.microsoft.com/ru-ru/l.../cc441610.aspx

Iska 28-01-2014 00:23 2297592

Цитата:

Цитата fcdm25
из за того, что юзверы стали переставлять винду и работать под локальными учетками, »

Принимайте карательные оргмеры административного характера.

cameron 28-01-2014 07:40 2297659

Цитата:

Цитата fcdm25
первый развалился через 1,5 года из за того, что юзверы стали переставлять винду и работать под локальными учетками, а админов мало 6 человек на 3000 хостов в итоге домен помер. »

тут нет причинно-следственной связи
Цитата:

Цитата fcdm25
но не хочется наступать на одни и те же грабли и поэтому решено пользователям отключать инет, если они зашли под локальной учетной записью. »

если у вас столь низная квалификация ИТ, то отсутствие интернета ничего не решит.
но вы можете попробовать.
Цитата:

Цитата fcdm25
Есть ли какие нибудь решения штатными средствами WS2012R2? »

нет.
но есть от других вендоров.
Цитата:

Цитата fcdm25
А если нет, то как это делает TMG2010? »

в отличие от WS она требует аунтификацию, поэтому пользователи все аунтифированы.

хотя, я думаю, вам это не поможет.

fcdm25 28-01-2014 12:04 2297760

Цитата:

Цитата Iska
Принимайте карательные оргмеры административного характера. »

У нас гос. компания, где нет дела, до ИТ. Недавно перестало работать одно подразделение, из за того, что сервер после выключения энергии не загрузился нормально, а все из за того, что в серверной 2-ой год не могут поменять батареи на ИБП.
Я думаю и сейчас если сделать инет, только доменный пользователям, то такая буря негодования от сотрудников поднимется.

Цитата:

Цитата cameron
тут нет причинно-следственной связи »

Из за того, что в основном пользователи никогда не работали в домене им он не нравился, что у каждого сотрудника свой раб стол и прочее, они привыкли работать под одной учеткой и все. Он есть сейчас, но в нем только наше подразделение и бухгалтерия. Все остальные благополучно из него вышли.

Цитата:

Цитата cameron
но есть от других вендоров. »

Если рассматривать варианты, то это наверное OpenSource, проблема в том, что нам не дадут денег, на закупку ПО. У нас его и так почти нет кроме 1С, консультанта, MSDN (Серверные продукты, без ОС и офиса) и VSphere4.

Цитата:

Цитата cameron
в отличие от WS она требует аутентификацию, поэтому пользователи все аунтифированы.
хотя, я думаю, вам это не поможет. »

Почему Вы думаете это нам не поможет и где можно более подробно прочитать про данную технологию?

Iska 28-01-2014 12:35 2297783

Цитата:

Цитата fcdm25
У нас гос. компания, где нет дела, до ИТ. »

Вы не поверите, где только нет дела до IT. Так что это не показатель. Пишите докладную с предложениями. Подавайте под роспись. В случае отказа — подавайте на каждый вышеописанный случай. Копите папку. Потому как в итоге гореть будет Ваша задница, а не их.

Цитата:

Цитата fcdm25
Я думаю и сейчас если сделать инет, только доменный пользователям, то такая буря негодования от сотрудников поднимется. »

Аналогично. Докладную на имя руководства. С разъяснениями и предложениями. С экономическими выкладками, если сумеете. Будет положительная резолюция — действуйте. Всех обиженных направляйте к руководству.

cameron 28-01-2014 12:39 2297789

Цитата:

Цитата fcdm25
У нас гос. компания, где нет дела, до ИТ. »

Это утверждение тоже неверно - проблема в руководстве ИТ отдела. Судя по всему, это не вы. Поэтому дальнеший разговор беспредметен. Всё что вы, как рядовой исполнитель, можете сделать - писать СЗ, визировать их и иметь под рукой. От "ковра" вас это не спасёт, но у вас будут обоснования собственного бездействия.
Цитата:

Цитата fcdm25
из за того, что сервер после выключения энергии не загрузился нормально, а все из за того, что в серверной 2-ой год не могут поменять батареи на ИБП. »

BIOS - Always ON.
Цитата:

Цитата fcdm25
Я думаю и сейчас если сделать инет, только доменный пользователям, то такая буря негодования от сотрудников поднимется. »

не вы это регламентируете, поэтому не вам давать или не давать интернет. Это сервис, не более того.
Если у вас приступы "вахтёра" - это проблема вашего руководства.
Цитата:

Цитата fcdm25
Из за того, что в основном пользователи никогда не работали в домене им он не нравился, что у каждого сотрудника свой раб стол и прочее, они привыкли работать под одной учеткой и все. »

Регламенты работы, стандарты предприятия, and so on.
Цитата:

Цитата fcdm25
Почему Вы думаете это нам не поможет и где можно более подробно прочитать про данную технологию? »

почитать что такое аунтификация пользователя можно в любом рукводстве администратора Windows OS.

fcdm25 28-01-2014 17:52 2298010

Цитата:

Цитата cameron
BIOS - Always ON. »

Он загрузился, но люди не смог нормально подключиться к сетевым дискам.
Цитата:

Цитата cameron
не вы это регламентируете, поэтому не вам давать или не давать интернет. Это сервис, не более того.
Если у вас приступы "вахтёра" - это проблема вашего руководства. »

Ограничивать доступ к инету, мне приказало начальство.

Angry Demon 28-01-2014 18:15 2298023

Цитата:

Цитата fcdm25
Ограничивать доступ к инету, мне приказало начальство

Вот, и распишите этому самому начальству по пунктам, что для этого нужно сделать, а не плачьтесь про негодующих сотрудников, привыкших самопально переставлять винду.

fcdm25 28-01-2014 18:26 2298028

Цитата:

Цитата Angry Demon
Вот, и распишите этому самому начальству по пунктам, что для этого нужно сделать, а не плачьтесь про негодующих сотрудников, привыкших самопально переставлять винду. »

Вообще я создал эту тему, для того, чтобы узнать с помощью каких средств это можно реализовать, а не затем, чтобы плакаться.

mwz 28-01-2014 19:08 2298048

Цитата:

Цитата fcdm25
с помощью каких средств это можно реализовать »

Средство известное: докладная записка.
Одна-другая -- и при правильной реакции руководства без вас уже никто ничего переставлять не будет.

ЗЫ
Кстати, мне за 7 лет, при количестве пользователей до 300 человек, этим методом пользоваться не приходилось (единственный раз устно пожаловался -- и то по менее критичному поводу) -- однако никаких такого типа эксцессов не было. Но пользователей мягко предупреждал сразу, что если они займутся отсебятиной -- от нас помощи не будет. Что означало, что при проблемах они остаются без рабочего места, с вытекающими последствиями -- особенно когда будут гореть сроки.

Angry Demon 28-01-2014 19:15 2298050

Цитата:

Цитата fcdm25
Вообще я создал эту тему, для того, чтобы узнать с помощью каких средств это можно реализовать

Вам уже почти всё рассказали:
0. Правила работы каждому сотруднику под роспись
1. AD и запрет локальных администраторов
2. TMeter, например, установленный на шлюзе, имеет собственный агент авторизации, позволяющий аутентифицировать пользователей в т.ч. средствами домена Windows

cameron 28-01-2014 20:25 2298083

Цитата:

Цитата fcdm25
Вообще я создал эту тему, для того, чтобы узнать с помощью каких средств это можно реализовать, а не затем, чтобы плакаться. »

Вам в этой теме рассказывают, как и что нужно сделать.
Ваш вопрос вовсе не уникален.
вместо "WS2012R2" можно подставить "win2k/win2k3/win2k8/etc" и получить теже ответы, в интервале последних 10 лет.
отвечающие вам либо уже прошли этот этап, либо недопустили его, поэтому ответы, фактически, одинаковы.

Если вам не интересны ответы людей, то зачем спрашивать?
ещё раз повторю вам - органичение интернета ничего не даст, вообще. Ну кроме "тёмной" для вас, как исполнителя.

fcdm25 29-01-2014 01:42 2298250

Здесь приведен пост моего начальника, который примерно обрисовывает наше предприятие и как в нем работают политики безопасности, а так же пользователи
А за советы большое спасибо, обязательно приму к сведению.

cameron 29-01-2014 07:41 2298297

fcdm25,
печально.

astomper7 29-01-2014 08:34 2298311

Цитата:

Цитата fcdm25
политики безопасности »

Пока сложно сказать, что какие либо политики безопасности наличествуют...

OTRS - а то, что внедрили helpdesk, уже лучше. Хотя, в целом, ситуация патовая - при наличии, как я понял, 6 админов (не эникейщиков), причем недостаточно опытных, реорганизовать вашу инфраструктуру с её "кошками" и вланами аццки сложно без грамотных аутсорсеров...

iluffka 29-01-2014 18:26 2298687

бардак.
такие бабосы потратить на такое оборудование и так управлять... вот ж* будет гореть, когда что-то сломается)

Denis Dyagilev 30-01-2014 11:04 2299065

Forefront TMG уже не продается, если что.
Да и проблема тут гораздо глубже, нежели ограничение доступа в сеть недоменным пользователям. И решать эти проблемы, как уже сказано выше, нужно решать на "бумажном" уровне.

А вообще можно попробовать решение на основе RADIUS-сервера.

cameron 30-01-2014 11:11 2299071

Denis Dyagilev,
да можно и Port Security и NPS и RADIUS и фортинеты с клиентами, вопрос лишь в том, что на лицо несоответствие ИТ и задач.

zavoruev 30-01-2014 13:01 2299134

Цитата:

Цитата cameron
Denis Dyagilev,
да можно и Port Security »

А Вы блог его начальника читали?))))
Цитата:

На всех портах уровня доступа стоял port security с меткой по MAC-адресу, при подключении другого компьютера — порт падал. От этого стали отказываться в тот момент, когда ноутбук мог себе позволить средний сотрудник. Естественно он пер его на работу, втыкал и жаждал работать, но получал падение порта, нервы и т.д., плюс к этому болезненная тяга некоторых сотрудников к перемене мест тоже не способствовало развитию этой практики.
Radius для точек доступа - да. ИМХО Чистый NPS с сетевыми политиками на 4000 хостов - это очень сложно реализуемо)!

cameron 30-01-2014 13:05 2299139

Цитата:

Цитата zavoruev
А Вы блог его начальника читали?)))) »

я читала его эмопост на хабре.
и что?
Цитата:

Цитата zavoruev
От этого стали отказываться в тот момент, когда ноутбук мог себе позволить средний сотрудник. »

зачем?..
Цитата:

Цитата zavoruev
Естественно он пер его на работу, втыкал и жаждал работать, но получал падение порта, нервы и т.д., плюс к этому болезненная тяга некоторых сотрудников к перемене мест тоже не способствовало развитию этой практики. »

это не естественно, более того противопоказано.

весь пост начальника сводится к простой идее - все *дорасы, а он - Д`Артаньян, который хочет сделать всем хорошо, не имея чётких регламентов.
а что бы их написать нужно понять, какие сервисы и как (не порт, не вай-фай, не WIndows) должна предоставлять служба ИТ.
в госах BYOD вообще должен быть строжайше запрещён, ибо гостайны и всякие ФЗ регламентирующие шифрования и прочие бла-бла.

Но так как у нас в такие госы попадают по знакомству и скилл там никому не нужен, то мы имеем такие гос.услуги на всех уровнях.
про ИТ в госах можно вести разговоры очень долго, как про водителей волг и газелей.

zavoruev 30-01-2014 13:08 2299143

Цитата:

Цитата cameron
в госах BYOD вообще должен быть строжайше запрещён, ибо гостайны и всякие ФЗ регламентирующие шифрования и прочие бла-бла. »

Это университет)! причем как пишет автор, статус Федерального еще не присвоили! От куда там тайны и ФЗ всякие))))) Ректору главное бабло что бы капало)))! В таких заведениях нужны административные регламенты, а не энтузиазм работников!

cameron 30-01-2014 13:09 2299145

Цитата:

Цитата zavoruev
Это университет) »

кампусные сети тоже имеют свои векторы развития, но сервисы должны быть регламентированы!
Цитата:

Цитата zavoruev
статус Федерального еще не присвоили! От куда там тайны и ФЗ всякие))))) »

там есть перс. данные, так что ФЗ в полный рост.
хотя ГТ там нет, ошиблась.

Denis Dyagilev 30-01-2014 13:10 2299147

Федеральный закон №152 никто не отменял для подобных нефедеральных учреждений.

cameron 30-01-2014 13:12 2299150

Цитата:

Цитата zavoruev
на 4000 хостов »

я вот не могу понять, что за универ у нас имеет 4к хостов.
или из них 3500 это заведомо неизвестные клиенты wifi?

zavoruev 30-01-2014 13:14 2299152

Цитата:

Цитата Denis Dyagilev
Федеральный закон №152 »

Все мы недавно видели(году эдак в 2010-2011) как работники Сбербака выкинули на помойку доки с персональными данными, и ничего им не было за это! Хотя в Банках столько всяких ФЗ)))) и все съехало с рук, причем всем! А Вы говорите про какой-то университет!!! Нет у них в электронном виде персональных данных)))) картотека на всех студентов!)))

cameron 30-01-2014 13:16 2299153

Цитата:

Цитата zavoruev
Нет у них в электронном виде персональных данных)))) картотека на всех студентов!))) »

отобрать 4к хостов, продать, купить счёты, бумагу, карандаши и ручки, раздать.
остаток прибыли пустить на ремонт хоз.построек.

zavoruev 30-01-2014 13:16 2299154

Цитата:

4000 хостов в сети
Цитата:

Беспроводные точки доступа Cisco разных моделей (~1500 клиентов ежедневно) под управлением контроллера Cisco 44xx
со слов начальника получается что 5500))))

Denis Dyagilev 30-01-2014 13:25 2299159

Давайте закончит на этом оффтоп.

exo 30-01-2014 13:31 2299167

Цитата:

Цитата cameron
я читала его эмопост на хабре. »

:up а ещё у меня есть сомнения:
Цитата:

Цитата fcdm25
а админов мало 6 человек на 3000 хостов в итоге домен перестал использоваться. »

6 админов на 3000 узлов в рабочей группе?
Цитата:

Цитата fcdm25
Есть ли какие нибудь решения штатными средствами WS2012R2? »

у WS 2012 R2 есть несколько штатных средств для блокирования трафика по пользователям, но они или не подходят автору по тому, что ещё не очень развиты, или у автора пользователи очень "развиты".
я надеюсь в новом сервере\клиенте будет развитие этих инструментов.

zavoruev 30-01-2014 13:41 2299175

Цитата:

Цитата Denis Dyagilev
Давайте закончит на этом оффтоп. »

ОК)
Цитата:

Цитата Denis Dyagilev
Forefront TMG уже не продается, если что. »

Этот вопрос беспокоит многих, и нужны пути решения или выхода из данной ситуации)! Хотя Гартнер уже дает нам возможность выбрать) http://blog.trinitygroup.ru/2013/10/blog-post.html
Цитата:

Цитата exo
я надеюсь в новом сервере\клиенте будет развитие этих инструментов. »

Хотелось бы) посмотрим что скажет новый SEO мелкомягких!

fcdm25 31-01-2014 02:36 2299618

Цитата:

Цитата zavoruev
Это университет)! причем как пишет автор, статус Федерального еще не присвоили! От куда там тайны и ФЗ всякие))))) Ректору главное бабло что бы капало)))! В таких нужны административные регламенты, а не энтузиазм работников! »

У нас федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «*********»
Цитата:

Цитата cameron
я вот не могу понять, что за универ у нас имеет 4к хостов

Штатных хостов у нас около 2,5к
Цитата:

Цитата zavoruev
Forefront TMG уже не продается, если что »

Это я в курсе. Для него сделал отдельный сервер на 2008R2, так как на 2012R2 он не встал, а покупать мы его не собираемся у нас он(TMG) доступен по подписки MSDN
Цитата:

Цитата exo
у WS 2012 R2 есть несколько штатных средств для блокирования трафика по пользователям, но они или не подходят автору по тому, что ещё не очень развиты, или у автора пользователи очень "развиты". »

Вы не могли бы рассказать по подробнее про эти средства или хотя бы написать их названия?

Вся проблема в том, что наш отдел это сборище самоучек. В основном там работают студенты этого ВУЗа(ведущий вуз России в области менеджмент-образования(wiki)), соответственно IT-шников там не готовят. Еще 2 человек из технических вузов (вкл. меня(я сетевик, второй ИБ). Работают у нас люди в возрасте от 20 до 23 лет, нашему начальнику чуть, чуть не хватает до 30, сам когда то работал у нас в отделе.
Мы в 6-ом делаем все, что связанно с компами (кроме существенного ремонта(пайка, замена деталей в МФУ, заправка картриджей) это - Настройка цисок, администрирования VMware vSphere, установка винды, помощь юзверам с офисом, подключения 1С, Консультант+, протяжка витух, конфиганья серваков, подключения принтеров, замена картриджей, вытаскиваем замятую бумагу из них.
Но при этом руководству на нас наплевать и какие то нормативные документы для нас писать никто не будет :( , а рулить такой сеткой без домена проблемно. Но пользователям он не нравиться и из за этого нам приходиться прибегать к таким мерам. Вирьё которого в сети навалом и мы просто физически его пока не в состоянии вылечить, так как на компах у всех бардак, некоторые вообще без нашего ведома сносят антивирусы, чтобы компы не тормозили. Недавно на одном из серваков одного из подразделений нашли порнухи на 500ГБ, когда решили освободить место на СХД в связи с его нехваткой. Да и на office 2007 народ еле переезжает, а потом кричит : "Почему у меня .docx не открывается(ставим для этого дополнения к MS office 2003)"

Сейчас ищу решения как в AD пропарсить пользователей из 1С. Для этого буду использовать MS PowerShell, начал его изучать, думаю к концу следующей недели спарсить всех пользователей

Поэтому и не хочется, чтобы все были напрасно и домен опять развалился

exo 01-02-2014 01:34 2300364

Цитата:

Цитата fcdm25
Вы не могли бы рассказать по подробнее про эти средства или хотя бы написать их названия? »

один из: Firewall. Вы можете запретить исходящий трафик 80 (443) порт(-ы) и указать для каких пользователей применить правило firewall.
Увы, работает только для пользователей, которые работают за этим компьютером\сервером локально или через RDP.
Т.е. если сделать роутер RRAS из WS 2012 - работать не будет... Вот, хотелось бы чтобы было развитие связки клиент-RRAS-Firewall. Может клиент какой будет для Windows 9... Но это уже фантазии.

в другом не уверен, но предположу: IPsec.
- сделать шлюзом WS 2012
- убрать возможность ввода в домен не административным у.з.
- убрать у пользователей права администраторов
- разрешить подключения к WS 2012 только доменных компьютеров (собственно, только их и можно настроить через групповые политики на подключение к серверу через IPsec)
но RADIUS сервер, думаю, проще в плане настройки...

я думаю, что в вашем случае, лучше всего будет сделать следующее:
- на шлюзе запретить для всех хостов исходящий на порты 80 и 443, кроме:
- разрешить одному серверу выход в интернет (и другим, вроде Exchange)
- на сервере настроить любой бесплатный\платный прокси сервер с авторизацией в домене.


Время: 09:47.

Время: 09:47.
© OSzone.net 2001-