Запрет использовать инет пользователям находящимся вне AD
Здравствуйте, на предприятии решили 2-ой раз ввести AD, первый развалился через 1,5 года из за того, что юзверы стали переставлять винду и работать под локальными учетками, а админов мало 6 человек на 3000 хостов в итоге домен перестал использоваться. На данный момент поднят домен на WS2012R2, но не хочется наступать на одни и те же грабли и поэтому решено пользователям отключать инет, если они зашли под локальной учетной записью. Слышал, что можно это сделать на MS TMG2010(Бывший ISA). Есть ли какие нибудь решения штатными средствами WS2012R2? А если нет, то как это делает TMG2010?
|
Цитата:
|
Цитата:
|
Цитата:
Цитата:
но вы можете попробовать. Цитата:
но есть от других вендоров. Цитата:
хотя, я думаю, вам это не поможет. |
Цитата:
Я думаю и сейчас если сделать инет, только доменный пользователям, то такая буря негодования от сотрудников поднимется. Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
Если у вас приступы "вахтёра" - это проблема вашего руководства. Цитата:
Цитата:
|
Цитата:
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
Одна-другая -- и при правильной реакции руководства без вас уже никто ничего переставлять не будет. ЗЫ Кстати, мне за 7 лет, при количестве пользователей до 300 человек, этим методом пользоваться не приходилось (единственный раз устно пожаловался -- и то по менее критичному поводу) -- однако никаких такого типа эксцессов не было. Но пользователей мягко предупреждал сразу, что если они займутся отсебятиной -- от нас помощи не будет. Что означало, что при проблемах они остаются без рабочего места, с вытекающими последствиями -- особенно когда будут гореть сроки. |
Цитата:
0. Правила работы каждому сотруднику под роспись 1. AD и запрет локальных администраторов 2. TMeter, например, установленный на шлюзе, имеет собственный агент авторизации, позволяющий аутентифицировать пользователей в т.ч. средствами домена Windows |
Цитата:
Ваш вопрос вовсе не уникален. вместо "WS2012R2" можно подставить "win2k/win2k3/win2k8/etc" и получить теже ответы, в интервале последних 10 лет. отвечающие вам либо уже прошли этот этап, либо недопустили его, поэтому ответы, фактически, одинаковы. Если вам не интересны ответы людей, то зачем спрашивать? ещё раз повторю вам - органичение интернета ничего не даст, вообще. Ну кроме "тёмной" для вас, как исполнителя. |
Здесь приведен пост моего начальника, который примерно обрисовывает наше предприятие и как в нем работают политики безопасности, а так же пользователи
А за советы большое спасибо, обязательно приму к сведению. |
fcdm25,
печально. |
Цитата:
OTRS - а то, что внедрили helpdesk, уже лучше. Хотя, в целом, ситуация патовая - при наличии, как я понял, 6 админов (не эникейщиков), причем недостаточно опытных, реорганизовать вашу инфраструктуру с её "кошками" и вланами аццки сложно без грамотных аутсорсеров... |
бардак.
такие бабосы потратить на такое оборудование и так управлять... вот ж* будет гореть, когда что-то сломается) |
Forefront TMG уже не продается, если что.
Да и проблема тут гораздо глубже, нежели ограничение доступа в сеть недоменным пользователям. И решать эти проблемы, как уже сказано выше, нужно решать на "бумажном" уровне. А вообще можно попробовать решение на основе RADIUS-сервера. |
Denis Dyagilev,
да можно и Port Security и NPS и RADIUS и фортинеты с клиентами, вопрос лишь в том, что на лицо несоответствие ИТ и задач. |
Цитата:
Цитата:
|
Цитата:
и что? Цитата:
Цитата:
весь пост начальника сводится к простой идее - все *дорасы, а он - Д`Артаньян, который хочет сделать всем хорошо, не имея чётких регламентов. а что бы их написать нужно понять, какие сервисы и как (не порт, не вай-фай, не WIndows) должна предоставлять служба ИТ. в госах BYOD вообще должен быть строжайше запрещён, ибо гостайны и всякие ФЗ регламентирующие шифрования и прочие бла-бла. Но так как у нас в такие госы попадают по знакомству и скилл там никому не нужен, то мы имеем такие гос.услуги на всех уровнях. про ИТ в госах можно вести разговоры очень долго, как про водителей волг и газелей. |
Цитата:
|
Цитата:
Цитата:
хотя ГТ там нет, ошиблась. |
Федеральный закон №152 никто не отменял для подобных нефедеральных учреждений.
|
Цитата:
или из них 3500 это заведомо неизвестные клиенты wifi? |
Цитата:
|
Цитата:
остаток прибыли пустить на ремонт хоз.построек. |
Цитата:
Цитата:
|
Давайте закончит на этом оффтоп.
|
Цитата:
Цитата:
Цитата:
я надеюсь в новом сервере\клиенте будет развитие этих инструментов. |
Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
Цитата:
Вся проблема в том, что наш отдел это сборище самоучек. В основном там работают студенты этого ВУЗа(ведущий вуз России в области менеджмент-образования(wiki)), соответственно IT-шников там не готовят. Еще 2 человек из технических вузов (вкл. меня(я сетевик, второй ИБ). Работают у нас люди в возрасте от 20 до 23 лет, нашему начальнику чуть, чуть не хватает до 30, сам когда то работал у нас в отделе. Мы в 6-ом делаем все, что связанно с компами (кроме существенного ремонта(пайка, замена деталей в МФУ, заправка картриджей) это - Настройка цисок, администрирования VMware vSphere, установка винды, помощь юзверам с офисом, подключения 1С, Консультант+, протяжка витух, конфиганья серваков, подключения принтеров, замена картриджей, вытаскиваем замятую бумагу из них. Но при этом руководству на нас наплевать и какие то нормативные документы для нас писать никто не будет :( , а рулить такой сеткой без домена проблемно. Но пользователям он не нравиться и из за этого нам приходиться прибегать к таким мерам. Вирьё которого в сети навалом и мы просто физически его пока не в состоянии вылечить, так как на компах у всех бардак, некоторые вообще без нашего ведома сносят антивирусы, чтобы компы не тормозили. Недавно на одном из серваков одного из подразделений нашли порнухи на 500ГБ, когда решили освободить место на СХД в связи с его нехваткой. Да и на office 2007 народ еле переезжает, а потом кричит : "Почему у меня .docx не открывается(ставим для этого дополнения к MS office 2003)" Сейчас ищу решения как в AD пропарсить пользователей из 1С. Для этого буду использовать MS PowerShell, начал его изучать, думаю к концу следующей недели спарсить всех пользователей Поэтому и не хочется, чтобы все были напрасно и домен опять развалился |
Цитата:
Увы, работает только для пользователей, которые работают за этим компьютером\сервером локально или через RDP. Т.е. если сделать роутер RRAS из WS 2012 - работать не будет... Вот, хотелось бы чтобы было развитие связки клиент-RRAS-Firewall. Может клиент какой будет для Windows 9... Но это уже фантазии. в другом не уверен, но предположу: IPsec. - сделать шлюзом WS 2012 - убрать возможность ввода в домен не административным у.з. - убрать у пользователей права администраторов - разрешить подключения к WS 2012 только доменных компьютеров (собственно, только их и можно настроить через групповые политики на подключение к серверу через IPsec) но RADIUS сервер, думаю, проще в плане настройки... я думаю, что в вашем случае, лучше всего будет сделать следующее: - на шлюзе запретить для всех хостов исходящий на порты 80 и 443, кроме: - разрешить одному серверу выход в интернет (и другим, вроде Exchange) - на сервере настроить любой бесплатный\платный прокси сервер с авторизацией в домене. |
Время: 09:47. |
Время: 09:47.
© OSzone.net 2001-