Você pode forçar esses usuários a usar um script de proxy usando um GPO.
O script de proxy é um JavaScript simples, permitindo que você direcione a conexão por meio de diferentes proxies ou diretos.
Crie o script para que os sites permitidos sejam enviados DIRECT ou pelo proxy usado em sua rede (se houver), mas todos os sites indefinidos são enviados para um falso endereço de proxy.
Pode ser algo assim:
var local_ip = myIpAddress();
function FindProxyForURL(url, host)
{
// Resolve host to IP address
var resolved_ip = dnsResolve(host);
// --- BEGIN ALLOWED DESTINATIONS ---
// Hosts and domains
if (localHostOrDomainIs(host, "intranet") ||
localHostOrDomainIs(host, "servicedesk") ||
localHostOrDomainIs(host, "serverfault.com"))
return "DIRECT";
// IP addresses
if ((resolved_ip == "10.11.12.13") ||
(resolved_ip == "60.61.62.63") ||
(resolved_ip == "80.81.82.83"))
return "DIRECT";
// IP ranges
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0") ||
isInNet(resolved_ip, "172.16.0.0", "255.240.0.0") ||
isInNet(resolved_ip, "192.168.0.0", "255.255.0.0") ||
isInNet(resolved_ip, "127.0.0.0", "255.255.255.0"))
return "DIRECT";
// --- END ALLOWED DESTINATIONS ---
// Default to bogus proxy server on same subnet as client!
return "PROXY 10.10.10.10:9999";
// --------------------------------------------------
}
Substitua "DIRECT" por "PROXY ProxyIP: ProxyPort" se um proxy for usado. Substitua o proxy falso "PROXY 10.10.10.10:9999" por um endereço IP no mesmo local que os seus servidores Citrix, para manter o tráfego sem saída na LAN.
Se desejar, você pode adicionar condições mais sofisticadas, por exemplo correspondência de regex na variável "url" ou "host".
Teste seu próprio script com o link .
Coloque o script em um servidor da Web interno com uma extensão .pac e coloque o URL no GPO. Certifique-se de adicionar a extensão de arquivo .pac à lista de tipos MIME do servidor da Web como "text / javascript".
Eu nunca usei arquivos PAC para essa finalidade, então você provavelmente quer garantir que o Internet Explorer não faça fallback no DIRECT, quando ele falhar em usar o servidor proxy falso.
Apenas uma ideia.