Ограничение доступа http выборочным юзерам Active Directory
 

Встала типовая задача ограничить пользователям доступ к определенным сайтам.
Хотел решить это настройкой шлюза DFL-260E, но ограничивать нужно не всех, а лишь избранных пользователей :)
Вкладываться по деньгам, разумеется, никто не хочет.
Пока что вижу два варианта:
1. Установить на каждый комп из "черного списка" K9 web protection. Не знаю правда имплементируется ли он через GPO и как себя ведет дальше.
2. Установить Traffic Inspector на сервере с winserver 2008 или подобную программу.

Еще не приходилось работать с Traffic Inspector. Прошу помощи, возможно уже кто-то успешно и без лишних нервов решал подобную задачу.
Возможно есть очевидные решения, о которых я не знаю.
В общем, буду рад любым советам и помощи.

UGN, ИМХО, варианты есть проще, аналогичные вашим:
1. Установка на компы из "чёрного списка" бесплатной редакции "TMeter" с одинаковыми фильтрами.
2. Установка на раздающий Интернет компьютер бесплатной редакции TMeter, где настроить URL фильтрацию "чёрному списку".

Доброго времени суток!!! А если пойти другим путем, проксей, например Linux+Squid+SquidGuard прозрачно или непрозрачно...?
Там можно и по IP и по юзерам все это настроить....

Angry Demon , про TMeter спасибо. Посмотрю.
Инет раздает не комп, а шлюз dlink DFL-260E. Я же планировал просто поставить Traffic Inspector в режиме прослушивания (внешний шлюз). Не знаю как это влияет на пинг и доступность портов, надо тестировать.
Ruldik Тот же нюанс, Линукса нет вообще ни на одной машине, и докупать для этого дела системник тоже не вариант, да и зачем так сложно...

Проксю не хочу использовать, т.к. в офисе немаленький штат бухгалтеров с их Клиент-банками, Референтами и прочим хламом, который очень чувствителен к подключению. А такскоме чуть что не так, сразу вылезает ошибка в диагностике рабочего стола. И прочее.
Да и зачем создавать еще одну базу юзеров, хочу чтобы все бралось из AD.


UPD. Как я понял, бесплатная редакция TMeter имеет лимит: всего 3 адреса можно добавить в блок лист. Маловато.

Неверно поняли. Максимальное число фильтров трафика.

можно использовать виртуальную машину.
сквид работает с AD.
их можно настроить мимо прокси.

так же сквид портирован на Windows :gigi: , правда опыта с ним и AD нет.
избранным пользователям можно назначить постоянный адрес, и создавать правила блокировки только для него.
Метод не работает, если у пользователей права локальных администраторов.

точно, сначала написал, потом полез проверять.

Вопрос: пробую заблочить Вконтакте. Добавляю в список URL vk.com, vk.com/*, vk.ru. *vk.com* и так далее.
Применяю. При наборе в адресной строке vk.com/feed доступа нет, вылезает кукиш и все как надо.
Но если открыть https://vk.com/feed то страничка доступна. Https трафик не мониторится?

В фирме еще процентов 20% компов на MacOS. Под них я что-то шейперов не нашел. Кто сталкивался?

Кальмар юзеров и с AD может тянуть... но если могут возникать такие грабли, то тогда не стоит...

я сталкивался, только не с шейперами - они для резки скорости.
блокировал сайты по имени, но вот какая штука получилась - правило не работало для OS X, ибо он разрешал имена в IPv6, а мой роутер его не поддерживал (не мог блокировать).
Для Win 7 правило в это же время прекрасно работало.
так что будьте внимательны:

это бэк-оффис, там дохлое оборудование, дешевенький сервак из Юлмарта, 20+ юзеров. Всё ПО должно быть белое, без кряков. Может ошибаюсь, но вроде как только VirtualBox есть бесплатный. Да и как-то многовато возни для такой задачки.

вы про SquidNT? Тоже опыта нет. Вообще, я так понимаю, если шлюз у меня DFL а не сервак, то для того чтобы использовать такие решения как сквид, надо сначала на железке завернуть трафик на сервер, а на сервере уже ставить прокси или сквид. Опять таки, как то сложновато. Я не совсем айтишник, и моих скромных познаний явно не хватит для этого.

а можно поконкретнее? с названиями и прочим ? :)

hyper-V бесплатный и входит в состав Windows 2008, правда, если у вас процессор не поддерживает виртуализацию - он не поможет.
да. я как то настраивал, но только без авторизации.

групповой политикой можно настроить прокси сервер для IE и Chrome. Для FF - если у них в шаблонах есть, но я не помню.
если делать прозрачный прокси - то нужно заворачивать трафик с роутера. я такие варианты не очень люблю, другое дело - прописать адрес сквида как шлюз по умолчанию на клиентских компьютерах.

Цитата:

Цитата UGN Да и как-то многовато возни для такой задачки »

ну кому возня и костыли, а кому на 30 минут работы.

Шейпинг
прокси сервер

Доброго времени суток.
Все зависит, наверное, от масштабов - количество сотрудников, которым необходимо резать доступ и будет ли это количество расти.
Если смотрите в сторону прокси Squid - учтите, что прозрачный режим (транспарент) не поддерживает аутентификацию, если нужна интеграция с AD - соответственно будете назначать прокси групповой политикой (шаблоны для google chrome и mozilla существуют, если используете IE - вообще проблем не будет). Аутентификация поддерживается NTLM и Kerberos, на блоге есть замечательная серия статей по настройке Squid, вот вводная статья, вот рубрика. Сам впервые делал именно по этой серии, но также добавил режик - бесплатный редиректор, который имеет свои бан листы по категориям (порно, видео и т.д.), пополняемые комьюнити этого самого режика (http://rejik.ru/).
Если делать на перспективу - это, пожалуй, один из лучших бесплатных вариантов. Если ищите где завести машину - виртуализация вам в помощь, существует бесплатная версия гипервизора от VMware - ESXi, если гипервизор не управляется vCenter`ом и нет других продуктов VMware, то разберетесь быстро, все интуитивно понятно. Поддержка функции intel-vt или amd-v процессором хоста не обязательна, без нее просто не сможете крутить 64-х разрядных гостей, но сам процессор должен быть 64-bit x86, если собираетесь использовать что-то новее ESX 3.5 (хотя все более-менее современные процессоры удовлетворяют этому требованию).

Метод тыка, конечно, хорош, но почитайте, наконец, Руководство. URL фильтр не работает по https. Это можно делать в правилах фильтра.

Ошибаетесь. Бесплатны, например, Microsoft Hyper-V Server, Citrix XenServer, VMware ESXi.

Тему можно закрывать.