У нас есть контроллер домена (Windows Server 2008R2), который также является нашим DNS-сервером. DNS-сервер имеет пересылку, указывающую на OpenDNS (www.opendns.org).
Все наши рабочие станции (Windows XP Pro) настроены так, чтобы указывать на наш локальный DNS-сервер. Я не хочу и дальше блокировать отдельные веб-сайты для всех пользователей, так как это становится немного запутанным.
В идеале я хотел бы разрешить почти все веб-сайты (за исключением нескольких категорий в OpenDNS по соображениям безопасности), а затем, если / когда руководство решит, что пользователь берет на себя вольности, я смогу заблокировать их доступ в Интернет на X дней.
Возможно ли это с Active Directory? Может что-то в профиле пользователей?
Я понимаю, что существует много споров о том, являются ли эти проблемы техническими или управленческими. Я пытаюсь предоставить больший доступ всем нашим сотрудникам, но сохраняю возможность временно применять полную блокировку для отдельных пользователей. Например, если пользователь посещает Facebook один или два раза в день, но это не влияет на его работу, то это нормально. Однако, если пользователь остается на Facebook весь день, я бы хотел заблокировать его Интернет после обсуждения с руководством, а затем разблокировать его через несколько дней и посмотреть, усвоен ли урок на какое-то время.
Мне немного неловко признать, что я делал это раньше, но самый "дешевый" способ, который я нашел для этого (при условии, что пользователь не может установить или иным образом использовать стороннее программное обеспечение веб-браузера), - это использовать Групповая политика для настройки Internet Explorer для пользователя-нарушителя на использование поддельного прокси-сервера HTTP / HTTPS (т. Е. IP / порта, который не отвечает - предпочтительно тот, который фактически отклоняет попытку TCP-соединения). Я поместил "разрешенные" веб-сайты в список обхода прокси.
Это очень «дешевый» способ делать то, что вы ищете, и его очень легко обойти, если пользователь может установить или использовать стороннее программное обеспечение браузера.
Один из «правильных» способов сделать это - принудительно использовать исходящий HTTP / HTTPS через прокси-сервер, который позволяет использовать списки ACL для каждого пользователя. Squid с аутентификацией NTLM может сделать это без затрат на лицензирование программного обеспечения и может обеспечить довольно приятную прозрачную аутентификацию для присоединенных к домену компьютеров Windows, обращающихся через него к веб-сайтам.