[Moonlight Dragon]

Angry Demon, логично:-) Как я сам не догадался? Но защитить от смены IP уже не получится при таком варианте, если я правильно понял?

[HLT]

Цитата Moonlight Dragon:

защитить от смены IP уже не получится при таком варианте, »

не давать пользователям локальных админских прав - и IP менять не смогут

[Moonlight Dragon]

HLT, это ясно (про права администратора), но если защититься от того, что какой-нибудь "умный" пользователь подсмотрит пароль/логин админа, то тут надо использовать стороннее ПО, причём на сервере. Не будешь же прогонять пользователей от компа с криками "Не подглядывать!":-)

ИМХО, мне казалось что серверная операционная система должна иметь какие-то инструменты для этого. Понятно, что ОС не может быть универсальным "комбайном", но всё же сеть - это же одно из главных (если не главное) назначений этих ОС. И вопрос ограничения доступа - это вопрос безопасности.

[Dirk Diggler]

Цитата Moonlight Dragon:

Возможно есть способ свести пользователей с запрещённым доступом в одну группу, и уже ей на уровне ActiveDirectory или домена задать права »

нет, этого нельзя. Можно лишь настроить фильтры входа на внутреннем интерфейсе(или выхода на внешнем, если NAT будет на модеме) - типа этому IP можно наружу, тому - нельзя. Фильтры настраиваются в оснастке "Маршрутизация и удаленный доступ".

Цитата Moonlight Dragon:

Но защитить от смены IP уже не получится при таком варианте, если я правильно понял? »

Разумеется. Имхо вообще лучше сделать резервирование DHCP.
Если же допускается использование сторонних продуктов, рекомендую разобраться и настроить 3proxy + плагин для аутентификации в AD. На оф. сайте подробный мануал. И вообще, там, где это возможно - надо обходиться без НАТа

Цитата Moonlight Dragon:

серверная операционная система должна иметь какие-то инструменты для этого »

ISA есть именно такой инструмент серверной системы.

[Moonlight Dragon]

Dirk Diggler, благодарю за ответ. Пойду читать.

Почему нужно обходиться без NAT? Легко уязвима? И для чего служит плагин аутентификации в AD? Для привязки к пользователям либо компьютерам? (т.е. не на аппаратном, а на "человеческом" уровне?)

[Delirium]

Цитата Moonlight Dragon:

для чего служит плагин аутентификации в AD »

для прозрачной работы пользователя, дабы бедный юзер не вводил по 200 раз свои имя пароль при попытке сделать шаг влево-вправо.
А вообще, убери шлюз по умолчанию из DHCP и не будет никому инета. Если кому надо, подключайся и просто руками прописывай шлюз(через скрипт или любым другим способом)

[Moonlight Dragon]

Delirium, уууу, как всё сложно:-) Всё руками, скриптами...:-) 3proxy в этом смысле удобнее, но я пока не понял, сможет ли она работать с DHCP на сервере?

[Dirk Diggler]

Цитата Moonlight Dragon:

Почему нужно обходиться без NAT? »

Почитайте здесь - http://www.eserv.ru/NAT

Цитата Delirium:

для прозрачной работы пользователя, дабы бедный юзер не вводил по 200 раз свои имя пароль при попытке сделать шаг влево-вправо. »

не совсем так. Авторизация все равно по HTTP, руками вбивать придется, просто пароль берется из AD, а соот-но у пользователя на вход в домен и работу в интернет всего одна пара логин/пароль, а не 2, как в случае других http-прокси.

[Delirium]

Dirk Diggler, ну я это и имел в виду

Цитата Moonlight Dragon:

уууу, как всё сложно:-) Всё руками, скриптами...:-) »

Хозяин барин, я же просто предлагаю как вариант

[Moonlight Dragon]

Delirium, Dirk Diggler, благодарю за ответы! Надеюсь разобраться в 3proxy - главное дойти до практического применения:-) (кстати, в смысле конфигурирования программа очень напоминает BCDW от Reanimatolog - тоже нужно писать "скрипт").