Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Запрет использовать инет пользователям находящимся вне AD

Ответить
Настройки темы
2012 R2 - Запрет использовать инет пользователям находящимся вне AD

Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изменения
Автор: fcdm25
Дата: 28-01-2014
Здравствуйте, на предприятии решили 2-ой раз ввести AD, первый развалился через 1,5 года из за того, что юзверы стали переставлять винду и работать под локальными учетками, а админов мало 6 человек на 3000 хостов в итоге домен перестал использоваться. На данный момент поднят домен на WS2012R2, но не хочется наступать на одни и те же грабли и поэтому решено пользователям отключать инет, если они зашли под локальной учетной записью. Слышал, что можно это сделать на MS TMG2010(Бывший ISA). Есть ли какие нибудь решения штатными средствами WS2012R2? А если нет, то как это делает TMG2010?

Отправлено: 21:11, 27-01-2014

 
mwz mwz вне форума

Аватара для mwz

Ушел из жизни


Сообщения: 8595
Благодарности: 2127

Профиль | Сайт | Отправить PM | Цитировать


Цитата fcdm25:
с помощью каких средств это можно реализовать »
Средство известное: докладная записка.
Одна-другая -- и при правильной реакции руководства без вас уже никто ничего переставлять не будет.

ЗЫ
Кстати, мне за 7 лет, при количестве пользователей до 300 человек, этим методом пользоваться не приходилось (единственный раз устно пожаловался -- и то по менее критичному поводу) -- однако никаких такого типа эксцессов не было. Но пользователей мягко предупреждал сразу, что если они займутся отсебятиной -- от нас помощи не будет. Что означало, что при проблемах они остаются без рабочего места, с вытекающими последствиями -- особенно когда будут гореть сроки.

-------
Mikhail Zhilin


Последний раз редактировалось mwz, 28-01-2014 в 19:18.

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:08, 28-01-2014 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Angry Demon

Крылатый ужас


Moderator


Сообщения: 26367
Благодарности: 4434

Профиль | Отправить PM | Цитировать


Цитата fcdm25:
Вообще я создал эту тему, для того, чтобы узнать с помощью каких средств это можно реализовать
Вам уже почти всё рассказали:
0. Правила работы каждому сотруднику под роспись
1. AD и запрет локальных администраторов
2. TMeter, например, установленный на шлюзе, имеет собственный агент авторизации, позволяющий аутентифицировать пользователей в т.ч. средствами домена Windows

-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра...


Здесь можно скачать драйверы

Сообщение оказалось полезным? Поблагодарите автора, нажав ссылку Полезное сообщение чуть ниже.

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:15, 28-01-2014 | #12


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


Цитата fcdm25:
Вообще я создал эту тему, для того, чтобы узнать с помощью каких средств это можно реализовать, а не затем, чтобы плакаться. »
Вам в этой теме рассказывают, как и что нужно сделать.
Ваш вопрос вовсе не уникален.
вместо "WS2012R2" можно подставить "win2k/win2k3/win2k8/etc" и получить теже ответы, в интервале последних 10 лет.
отвечающие вам либо уже прошли этот этап, либо недопустили его, поэтому ответы, фактически, одинаковы.

Если вам не интересны ответы людей, то зачем спрашивать?
ещё раз повторю вам - органичение интернета ничего не даст, вообще. Ну кроме "тёмной" для вас, как исполнителя.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 20:25, 28-01-2014 | #13


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здесь приведен пост моего начальника, который примерно обрисовывает наше предприятие и как в нем работают политики безопасности, а так же пользователи
А за советы большое спасибо, обязательно приму к сведению.

Отправлено: 01:42, 29-01-2014 | #14


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


fcdm25,
печально.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 07:41, 29-01-2014 | #15


Старожил


Сообщения: 420
Благодарности: 47

Профиль | Отправить PM | Цитировать


Цитата fcdm25:
политики безопасности »
Пока сложно сказать, что какие либо политики безопасности наличествуют...

OTRS - а то, что внедрили helpdesk, уже лучше. Хотя, в целом, ситуация патовая - при наличии, как я понял, 6 админов (не эникейщиков), причем недостаточно опытных, реорганизовать вашу инфраструктуру с её "кошками" и вланами аццки сложно без грамотных аутсорсеров...

-------
Когда я впервые увидел Win8, я спросил: «Windows 3.1 возвращается?» (c)


Отправлено: 08:34, 29-01-2014 | #16


Старожил


Сообщения: 266
Благодарности: 11

Профиль | Отправить PM | Цитировать


бардак.
такие бабосы потратить на такое оборудование и так управлять... вот ж* будет гореть, когда что-то сломается)

Отправлено: 18:26, 29-01-2014 | #17


Аватара для Denis Dyagilev

Модератор


Moderator


Сообщения: 967
Благодарности: 222

Профиль | Отправить PM | Цитировать


Forefront TMG уже не продается, если что.
Да и проблема тут гораздо глубже, нежели ограничение доступа в сеть недоменным пользователям. И решать эти проблемы, как уже сказано выше, нужно решать на "бумажном" уровне.

А вообще можно попробовать решение на основе RADIUS-сервера.

Отправлено: 11:04, 30-01-2014 | #18


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать


Denis Dyagilev,
да можно и Port Security и NPS и RADIUS и фортинеты с клиентами, вопрос лишь в том, что на лицо несоответствие ИТ и задач.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 11:11, 30-01-2014 | #19


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата cameron:
Denis Dyagilev,
да можно и Port Security »
А Вы блог его начальника читали?))))
Цитата:
На всех портах уровня доступа стоял port security с меткой по MAC-адресу, при подключении другого компьютера — порт падал. От этого стали отказываться в тот момент, когда ноутбук мог себе позволить средний сотрудник. Естественно он пер его на работу, втыкал и жаждал работать, но получал падение порта, нервы и т.д., плюс к этому болезненная тяга некоторых сотрудников к перемене мест тоже не способствовало развитию этой практики.
Radius для точек доступа - да. ИМХО Чистый NPS с сетевыми политиками на 4000 хостов - это очень сложно реализуемо)!

Отправлено: 13:01, 30-01-2014 | #20



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Запрет использовать инет пользователям находящимся вне AD

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - [решено] Запрет на установку ПО пользователям домена sigmatik Windows Server 2008/2008 R2 19 14-01-2013 14:28
Разное - как использовать блок питания для бытовых нужд. Вне компа. viter_alex Прочее железо 10 13-06-2011 09:47
Вопрос - Запрет доступа на запись в папки пользователям в WinXP TrenAr Защита компьютерных систем 4 13-09-2009 00:38
Запрет на сохранение файлов вне профиля. sinchro Microsoft Windows NT/2000/2003 8 16-11-2007 12:11
запрет на пользование Интернетом удалённым пользователям igoil Microsoft Windows NT/2000/2003 5 09-02-2007 16:48




 
Переход