我试图根据用户和计算机的AD组成员来设置对外部网站的精细控制。
一般来说,我们会封锁YouTube,Facebook,MySpace等网站,但我们的video部门需要YouTube访问; 市场部门需要访问Facebook等等。 我们也有一些PC应该有不受限制的Web访问。 目前,这是通过使用input到我们的防火墙configuration中的静态IP进行pipe理的 – 这是非常耗时且容易出错的,而且通过AD组成员身份可以更容易地完成,而且我们现有的硬件防火墙不支持这种情况:(
所以,我们的要求是:
通过Active Directory组成员身份控制对特定网站的USER-LEVEL访问。 Active Directory中“Facebook用户”组成员的用户可以在办公时间内访问Facebook,无论他们使用的是哪台计算机,而非“Facebook用户”成员的用户不应该能够在办公时间访问本网站。 我们希望为5-6个不同的网站重复这一点,并通过AD组成员完全pipe理访问。
控制计算机级访问特定的网站 – 即我想能够使一个特定的域计算机成为“Facebook用户”组的成员,使任何使用该计算机的用户都可以访问Facebook,无论用户的AD组成员身份。
理想情况下,所有这些对最终用户来说都是完全透明的 – 他们不需要再次inputnetworking凭证。 而且,只要可以通过组策略pipe理,设置本地代理等就没有问题。
谢谢,
迪伦
我们使用梭子鱼networking的网页filter来实现这一点,这个网页filter可以与Active Directory集成在一起。 您也可以分配特定的IP地址特定的权限 – 通过DHCP或简单的旧的静态configuration,确保同一台计算机始终具有相同的IP地址是很容易的。 我们之所以select这个,是因为我们喜欢它的报告,而且我们得到了很多。
有很多竞争的网页过滤解决scheme,硬件,软件,开源,甚至是基于云的软件即服务解决scheme,与Active Directory集成 – 如果他们这样做,那么他们几乎100%做你所需要的。
微软ForeFront TMG可以用本地安装的防火墙客户端或透明代理来实现。 由于客户知道计算机的身份和(!)用户的身份,所以可以为他们定义规则。
看看帕洛阿尔托networking。
我们有他们的一个盒子,它可以做你刚刚描述的几乎完全一样,它会在应用程序级别,而不是你必须指定每个网站的URL。
微软的ISA服务器将为你做所有这一切,它将作为本地代理就好了。
它要求在客户端PC上configurationMicrosoft防火墙客户端以最透明的方式工作,但这很容易使用组策略完成。
来自开源人群的一句话:我会大声疾呼使用Squid Cache来做你正在寻找的东西。
你可以在这里看到一些设置Squid的老版本的文档(这些文档仍然适用于最新版本的Squid for Win32): http : //www.papercut.com/kb/Main/InstallingAndConfiguringSquidNTProxy
实际上,通过Windows上的AD域进行身份validation实际上很容易。 之后,它只是build立一个你想要的访问控制squid.conf文件。 刚开始的时候有点混淆,但是一旦你把思想包裹在Squid ACL模型中,你会发现你可以用它做一些非常狂野的事情。 根据源IP地址(或DNS名称)与基于用户和基于时间的ACL混合使用ACL是可能的。 ACL系统真的很强大。
Internet Explorer支持对Squid的透明NTLM身份validation(我相信,Chrome也是如此)。 我不相信火狐或Safari已经设法整合这个function。 对于使用IE的join域的Windows客户端来说,它“透明地工作”。
我会使用代理自动configuration脚本,而不是试图通过组策略,脚本等推出代理设置。代理自动configuration脚本非常方便。
如果您打算根据组成员身份限制访问,则可能需要确保这些组正在dynamic更新。 否则,如果没有适当的访问权限,您仍然会得到帮助台票证和您的用户。