我目前的Windows Workplace Network需要一些用户限制访问互联网,一些用户可以完全访问互联网。
因此,我使用了一个OPENDNS,因为它是最简单,但成本效益的select(如免费!)所以我给了这些用户有限的帐户和文件和video共享,社交networking,成人网站等网站的限制群体在OPENDNS控制面板中,将这些用户的DNS设置指向OPENDNS。
现在我决定将这个networking升级到Windows Server 2008 R2环境,显然是为了更好的pipe理,并利用文件服务器中的文件存储和访问限制,再次卡住,因为我想让一些计算机使用OPENDNS服务器继续限制,因为这似乎是最简单的方法。 但是,将networking上的所有计算机添加到域中也意味着这些用户将不得不使用服务器的DNS,这将使他们完全访问互联网。 同样在这个最新的环境中,一些用户根本不能上网(至less暂时)。 有人可以帮助我吗?
DNS真的不能用于访问控制。 一旦用户发现可以通过IP地址访问站点(包括代理站点),则全部结束。
如果你正在寻找一个免费的社区networking过滤平台,你可能会考虑Untangle 。
是的,对于简单的互联网访问控制DNS可以以非常原始的forms使用,对于不知道DNS如何工作,不知道如何绕过你的configuration的人…但是对于全面的控制,你需要一个全面的解。 DNS并不意味着您打算使用DNS,因此您的需求并不是一个非常强大,可扩展,可靠,傻瓜的解决scheme。
我的build议是看一下微软的解决scheme,或者任何一家拥有自己需要的产品的厂商。
DNS不适用于Internet访问控制,您应该使用防火墙或代理服务器。
如果要build立一个域环境, 所有的域计算机都需要使用域DNS服务器(通常是域控制器)。 “非常确定的需要”意思是“做到这一点,否则一切都将开始performance奇怪和/或根本不工作”。
您可以让您的域名DNS服务器使用OpenDNS作为转发器,而不是使用您的ISP的或自己查找外部名称; 但是这样,所有的DNS查询都会来自DC的OpenDNS,并且不能过滤任何东西。 反过来也是行不通的:你可以让你的用户使用OpenDNS,然后把你的内部AD域的查询转发给你的域控制器,并自己解决Internet查询……但是Windows客户端需要直接与域DNS服务器,不仅用于名称parsing,还可以在您的内部DNS区域中注册。
你一定要看一下代理或防火墙解决scheme; DNS只是没有为此创build。
域计算机将只使用您的域的DNS服务器,如果您没有configuration它们,否则使用组策略。 根据您拥有的任何政策,将各个OU中的计算机分组。 然后为显式设置DNS设置的每个OU创build组策略对象。 你可以在这里find它们:
Administrative Templates\Network\DNS Client 但是就像joeqwerty提到的那样,这不会阻止技术上精明的人们到达他们需要去的地方。