我们有一个域控制器(Windows Server 2008R2),这也是我们的DNS服务器。 DNS服务器有一个指向OpenDNS的转发器(www.opendns.org)。
我们所有的工作站(Windows XP Pro)都被configuration为指向我们的本地DNS服务器。 我不想阻止所有用户的个人网站,因为它有点混乱。
理想情况下,我想允许几乎所有的网站(除了OpenDNS的几个类别,出于安全原因),然后如果/当pipe理层决定用户正在采取自由,我将能够阻止他们的互联网接入X天。
Active Directory有可能吗? 也许在用户configuration文件中的东西?
我意识到,这些问题是技术性的还是pipe理性的,都有很多争议。 我试图让更多的人进入我们所有的员工,但是保留选项来暂时为个人用户实施一个完整的模块。 例如,如果用户每天访问Facebook一次或两次,但不影响他们的工作,那就没问题了。 但是,如果用户整天呆在Facebook上,那么我会在与pipe理层讨论后阻止他们的互联网,然后在几天后解除封锁,看看这个课程是否已经学习了一段时间。
我有点尴尬地承认我之前做过这个,但是我发现这样做的“最便宜”方式(假设用户不能安装或以其他方式使用第三方networking浏览器软件)是使用组策略为违规用户configurationInternet Explorer使用虚假的HTTP / HTTPS代理服务器(即IP /端口不回答 – 最好实际上拒绝TCP连接尝试)。 我把“允许”网站放到代理旁路列表中。
如果用户可以安装或使用第三方浏览器软件,那么这是一种非常“便宜”的方式来完成您要查找的内容,并且完全容易绕过。
一个“更有效”的方法是通过代理服务器强制出站HTTP / HTTPS,允许每个用户的ACL。 采用NTLM身份validation的Squid可以做到这一点,不需要软件许可成本,并且可以为通过它访问网站的join域的Windows机器提供相当不错的透明身份validation体验。