[cameron]

это решается через Proxy сервер.
AD не занимается блокировкой доступа в интернет.

[zai]

Роль Hyper-V+Ubuntu Server+Squid

[GODolubOFF]

Цитата cameron:

это решается через Proxy сервер. AD не занимается блокировкой доступа в интернет. »

Ок, я уже тоже к этому выводу успел придти, но сложность есть еще вот в чем. Есть 11 магазинов одежды, находятся они в разных городах. Таким образом придется делать 11 прокси серверов, правильно понимаю? Какие еще способы есть?

Цитата zai:

Роль Hyper-V+Ubuntu Server+Squid »

И без убунты пока голова кругом идет) ни Hyper-V, ни Squid мне не знакомы тоже.

[zai]

Цитата GODolubOFF:

Таким образом придется делать 11 прокси серверов, правильно понимаю? »

Да

Цитата GODolubOFF:

Какие еще способы есть? »

Настроить интернет через VPN сервер, но это изврат и скорось упадет сильно.

[cameron]

Цитата GODolubOFF:

Таким образом придется делать 11 прокси серверов, правильно понимаю? Какие еще способы есть? »

соеднить все магазины через Site-to-Site туннели и гонять интернет через головной прокси сервер.

Цитата zai:

но это изврат и скорось упадет сильно. »

это нормально. падение скорости будет мизерным.

Цитата GODolubOFF:

Какие еще способы есть? »

взять готовые решения, как-то PFsense, monowall, clearos - но у них всех будут различные сложности с реализацией

Цитата GODolubOFF:

при этом для других пользователей сидящих время от времени на этих машинах (директор магазина например) доступ в инет через браузер должен быть открыт. »

[nokogerra]

Мои 5 копеек по поводу squid - все сильно зависит от задач, если нужна интеграция в какой-то мере с AD (т.е. аутентификация в squid по kerberos или ntlm с учетными записями AD), редиректор (скажем rejik с набором бан-листов по категориям порно/видео/аудио/соц сети и т.д.) и т.д. - то будет сложнее, если просто зарезать несколько урлов или оставить доступ только к нескольким урлам клиентам по локальным адресам (ip) - очень просто. Как бы там ни было, когда я впервые столкнулся со сквидом, то действовал по этим статьям http://www.k-max.name/category/linux/squid/. Там все подробно разжевано и в рот положено.
P.S. там даже описана настройка прокси групповой политикой для разных браузеров.

[El Scorpio]

Цитата GODolubOFF:

Передо мной стоит задача блокировки доступа в интернет через браузеры на локальных машинах пользователей которые находятся в домене (server.vasya.local), пользователи заведены в AD в разные подразделения и группы. Необходимо закрыть доступ определенным пользователям, при этом для других пользователей сидящих время от времени на этих машинах (директор магазина например) доступ в инет через браузер должен быть открыт. »

1. Создать групповую политику, в которой указаны параметры локального прокси-сервера для Internet Explorer
2. В параметрах прокси настроить доменную авторизацию и с использованием чёрных и белых списков пользователей.
3. В параметрах сервера DHCP убрать "маршрут по умолчанию", либо сделать на шлюзе полную блокировку исходящего трафика для данных адресов. Потому что в противном случае пользователи будут выходить в интернет через Firefox или другой обозреватель, перекрывающий параметры групповой политики.

Цитата GODolubOFF:

Ок, я уже тоже к этому выводу успел придти, но сложность есть еще вот в чем. Есть 11 магазинов одежды, находятся они в разных городах. Таким образом придется делать 11 прокси серверов, правильно понимаю? Какие еще способы есть? »

Цитата zai:

Настроить интернет через VPN сервер, но это изврат и скорось упадет сильно. »

Если у вас используется единый домен, значит эти 11 магазинов уже соединены каналами VPN в единую сеть.

[cameron]

Цитата El Scorpio:

1. Создать групповую политику, в которой указаны параметры локального прокси-сервера для Internet Explorer 2. В параметрах прокси настроить доменную авторизацию и с использованием чёрных и белых списков пользователей. 3. В параметрах сервера DHCP убрать "маршрут по умолчанию", либо сделать на шлюзе полную блокировку исходящего трафика для данных адресов. Потому что в противном случае пользователи будут выходить в интернет через Firefox или другой обозреватель, перекрывающий параметры групповой политики. »

использовать WPAD, а не GPO.
дальше всё ОК

[El Scorpio]

Цитата cameron:

использовать WPAD, а не GPO. »

1. WPAD настроить гораздо сложнее
2. В любом случае пользователь может изменить настройки броузера на режим "без прокси"