Controlador de Domínio, Servidor DNS e OpenDNS - Usuário do Bloco 1?

1

Temos um controlador de domínio (Windows Server 2008R2) que também é nosso servidor DNS. O servidor DNS tem um encaminhador que aponta para o OpenDNS (www.opendns.org).

Todas as nossas estações de trabalho (Windows XP Pro) estão configuradas para apontar para o nosso servidor DNS local. Não quero continuar bloqueando sites individuais para todos os usuários, pois isso está ficando um pouco confuso.

Idealmente, eu gostaria de permitir praticamente todos os sites (exceto algumas das categorias no OpenDNS, por razões de segurança) e, se / quando o gerenciamento decidir que um usuário está tomando liberdades, eu seria capaz de bloquear o acesso à Internet. X dias.

Isso é possível com o Active Directory? Talvez algo no perfil dos usuários?

Eu percebo que há muito debate sobre se esse tipo de problema é técnico ou gerencial. Estou tentando permitir mais acesso a toda a nossa equipe, mas mantenha a opção de impor temporariamente um bloqueio completo para usuários individuais. Por exemplo, se um usuário visitar o Facebook uma ou duas vezes por dia, mas não causar impacto em seu trabalho, tudo bem. Se, no entanto, um usuário permanecer no Facebook todos os dias, eu gostaria de bloquear a internet depois de uma discussão com o gerenciamento e, em seguida, desbloqueá-lo alguns dias depois e ver se a lição foi aprendida por algum tempo.

    
por dannymcc 30.07.2011 / 20:40

1 resposta

2

Estou com um pouco de vergonha de admitir que já fiz isso antes, mas da maneira "mais barata" que encontrei para fazer isso (supondo que o usuário não possa instalar ou usar outro software de navegador da Web de terceiros) é usar a Diretiva de Grupo para configurar o Internet Explorer, para o usuário incorreto, para usar um falso servidor proxy HTTP / HTTPS (ou seja, um IP / porta que não responde-- de preferência um que realmente rejeite a tentativa de conexão TCP). Eu coloquei sites "permitidos" na lista de proxy ignorados.

É uma maneira muito "barata" de fazer o que você está procurando e totalmente fácil de ignorar se o usuário puder instalar ou usar software de navegador de terceiros.

Uma maneira "simples" de fazer isso seria forçar o HTTP / HTTPS de saída por meio de um servidor proxy que permita ACLs por usuário. O Squid com autenticação NTLM pode fazer isso sem custo de licenciamento de software e pode fornecer uma experiência de autenticação transparente bastante agradável para máquinas Windows que acessam o domínio e acessam sites por meio dele.

    
por 30.07.2011 / 21:21