Моя текущая сеть Windows Workplace Network требует, чтобы у некоторых пользователей был ограниченный доступ к Интернету, а у некоторых пользователей был полный доступ к Интернету.
Поэтому я использовал OPENDNS, поскольку он оказался наиболее простым и в то же время экономичным вариантом. (как в бесплатном!) Поэтому я предоставил этим пользователям ограниченные учетные записи и ограниченные группы сайтов, такие как обмен файлами и видео, социальные сети, сайты для взрослых и т. Д., В панели управления OPENDNS и указал этим пользователям настройки DNS на OPENDNS.
Теперь я решил обновить эту сеть до среды Windows Server 2008 R2, очевидно, для лучшего управления и использования централизованного хранилища файлов и ограничений доступа на файловом сервере, и я снова застрял, потому что хочу, чтобы некоторые компьютеры использовали OPENDNS серверов, чтобы сохранить ограничения, поскольку это кажется самым простым способом сделать это. Но добавление всех компьютеров в сети к домену также будет означать, что эти пользователи должны будут использовать DNS сервера, который, в свою очередь, предоставит им полный доступ к Интернету. Также в этой последней среде некоторым пользователям вообще не должен быть предоставлен доступ в Интернет (по крайней мере, на данный момент). Может кто-нибудь мне здесь поможет!
DNS не предназначен для управления доступом в Интернет, для этого следует использовать брандмауэр или прокси-сервер.
Если вы собираетесь создать среду домена, существует определенная потребность в все компьютер домена для использования DNS-сервера (ов) домена (обычно являющегося контроллером (ами) домена); "очень определенная потребность" означает "сделай это, или все начнет вести себя странно и / или вообще не работать".
Вы мог пусть DNS-серверы вашего домена используют OpenDNS в качестве сервера пересылки вместо того, чтобы использовать серверы вашего интернет-провайдера или самостоятельно искать внешние имена; но в этом случае все запросы DNS будут поступать в OpenDNS от DC, и он не сможет ничего фильтровать. Обратное тоже не сработает: вы мог пусть ваши пользователи используют OpenDNS, а затем перенаправляют запросы для вашего внутреннего домена AD на контроллер (-ы) домена и сами решают интернет-запросы ... но клиенты Windows должны разговаривать прямо к DNS-серверу (-ам) домена не только для разрешения имен, но и для регистрации во внутренней зоне DNS.
Вам обязательно стоит поискать прокси или брандмауэр; DNS просто не был создан для этого.
Да, конечно, для простого контроля доступа к Интернету DNS может использоваться в очень примитивной форме для людей, которые не знают, как работает DNS, и не знают, как обойти вашу конфигурацию ... но для полного контроля вам понадобится всесторонний решение. DNS не был предназначен для использования по назначению и поэтому не является надежным, масштабируемым, надежным и надежным решением для ваших нужд.
Мое предложение - посмотреть на решение от Microsoft, или любой из поставщиков blue zillion, у которых есть продукты, которые делают то, что вам нужно.
DNS действительно не будет работать для контроля доступа. Как только пользователь узнает, что можно получить доступ к сайтам (включая прокси-сайты) по IP-адресу, все кончено.
Если вы ищете бесплатную платформу веб-фильтрации для сообщества, вы можете рассмотреть Распутать.
Машины домена будут использовать DNS-серверы вашего домена, только если вы не настроили их иначе с помощью групповой политики. Сгруппируйте компьютеры в различные подразделения в соответствии с имеющейся у вас политикой. Затем создайте объекты групповой политики для каждого подразделения, которое явно задает параметры DNS. Вы можете найти их здесь:
Administrative Templates\Network\DNS Client
Но, как упоминал Joeqwerty, это не помешает технически подкованным людям добраться туда, куда им нужно.