主題: [問題]請問在Domain環境中,如何讓使用者不能上網??

[chenfm]

各位好:
小弟想請問在 Active Directory 的環境下,
如何設定才能讓沒有上網權限的User,
不能使用公司以外的任何網路資源?

小弟現在的做法是 :
1.將使用者加入Domain
2.在防火牆上將所有IP都設定為無法對外連線
3.將可以上網的User指定IP
4.在將指定的IP開啟上網權限

這樣的流程很麻煩,有沒有辦法可以針對User來指定??
如A有上網的權限,那她使用Domain裡的電腦,
就都可以上網.
B沒有上網的權限,那她不管用Domain裡的電腦都不能上網.

謝謝各位.

[duncanlo]

純windows環境,
那firewall不是也要用isa?!

[Kevin]

提供另一個方法:

 利用防火牆的認證 (Authentication ) 及授權 (Authoriztion)機制.
舉例來說, 使用者開啟 Browser , 會先跳出 輸入 ID , Password 的視窗.
輸入無誤之後, 才可以上網.

或許符合您的需求.

[huckly]

用 GPO 不是就可以了
不需大費周章

[chenfm]

抱歉...
問題沒敘述清楚.
AD 是 win2000 Server
Client 是 win2000 Pro
FW 是 Cisco 515

我想問的是如何使用GPO來限制User使用網路.
也就是說,我不使用防火牆來對User做任何限制,
而是針對使用者的帳號做限制.

應該如何使用GPO來達成呢??
我找遍了AD Server裡預設的選項,
但是好像沒有符合這項需求的.
請問應該到哪裡做設定??
謝謝各位.

[chenfm]

剛剛問過微軟的工程師了,
他們給我的回答是,AD無法做到我所提出的需求.....
必須在我的網路裡加上 ISA Server .
ISA Server + Domain ,
就可針對使用者或是群組,
來做上網權限的控管.
唉.........

謝謝各位的回答

[huckly]

剛剛做出來了
有點麻煩 但是應該合你用途
先用 DHCP 中設定 每個 mac address 的ip 位置 跟 是否有 gateway
(不要跟我說 沒有 gateway 也可以上網)

然後在 網域的 GPO 設定 區域網路 的內容不允許更改
這樣 應該可以解決你的問題

[chenfm]

剛剛做出來了
有點麻煩 但是應該合你用途
先用 DHCP 中設定 每個 mac address 的ip 位置 跟 是否有 gateway
(不要跟我說 沒有 gateway 也可以上網)

然後在 網域的 GPO 設定 區域網路 的內容不允許更改
這樣 應該可以解決你的問題

您的意思是說,不能上網的使用者,就不要設Gateway?
我現在的設定就是,使用者不能更改區域網路的內容了,
假設我的電腦的IP是192.168.0.1 Gateway 是 192.168.0.254
A電腦的IP是192.168.0.2 Gateway 沒設
萬一我使用A電腦,然後用我的帳號登入,可以取得GatewayIP嗎?
如果不能,那用我的帳號也一樣不能上網.
如果能,那IP會不會衝突??

抱歉,不太懂應該怎麼做.
謝謝您的回答.

[huckly]

其時 我在解決這問題時就知道這個弊病

能不能上網是針對 computer
能不能修改 區域網路內容 是針對USER

載我這邊行的通是因為 [人機一體]
如過 人機不一體  就會有你所說的困擾
擁有可以更改 區域網路內容的人
到不能上網的PC想上網  必須手動調整
而不能上網的人  到可以上網的PC去是可以上網
這是 我在想不用新增軟體及設備而言 的一個變通之法


很抱歉  IP 及 gateway 的 config 是跟著compute 這個 OU 跑  
而不是 跟著 user 這個 OU 跑

另外一個解決的方法 就是 更高階了
我以前有聽過人家做   但是現在沒有設備環境
沒辦法幫你試

cisco PIX 應該是有 帳號認證  RADIUS server
將 windows 2000 server RADIUS 功能啟動
也許 可以做得到
我不敢說這招行
因為自己沒試過

[chenfm]

其時 我在解決這問題時就知道這個弊病

能不能上網是針對 computer
能不能修改 區域網路內容 是針對USER

載我這邊行的通是因為 [人機一體]
如過 人機不一體  就會有你所說的困擾
擁有可以更改 區域網路內容的人
到不能上網的PC想上網  必須手動調整
而不能上網的人  到可以上網的PC去是可以上網
這是 我在想不用新增軟體及設備而言 的一個變通之法


很抱歉  IP 及 gateway 的 config 是跟著compute 這個 OU 跑  
而不是 跟著 user 這個 OU 跑

另外一個解決的方法 就是 更高階了
我以前有聽過人家做   但是現在沒有設備環境
沒辦法幫你試

cisco PIX 應該是有 帳號認證  RADIUS server
將 windows 2000 server RADIUS 功能啟動
也許 可以做得到
我不敢說這招行
因為自己沒試過

我公司是有PIX , 但是RADIUS server 這個是什麼東西我就不知道了....
我再找找相關資源,看看有沒有解.
謝謝.

[huckly]

不知哪根筋不對
對這話題特別有興趣  pix 跟 windows 我的環境都沒有
還一直研究

剛剛跟同學研究
並沒有不花錢能夠成的

因為 帳號 Authorization 是屬於 layer7(layer 6) 而 IP ACL 是屬於 layer 3
硬是要把這兩個東西 綁在一起 真的需要 花錢解決

RADIUS server  只能做到 我用 windows AD 帳號登入 ROUTER 或是 PIX 做 CONFIG
這樣就不用 一堆 ROUTER 或是 PIX 設一堆帳號

但是 透過 REDUIS 跟 ACL 結合 真的粉不容易
同學是說 CISCO有一套access control server(ACS) 可以輔助結合
把 AD 帳號 轉道 ACS　讓 PIX 來做管控
是不是這篇文章 您研究看看吧
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a00800d9e6b.html#623655

不然就是到
http://www.vlab.com.tw
那邊 network 高手粉多
也需他們可以解決你的問題

[chenfm]

不知哪根筋不對
對這話題特別有興趣  pix 跟 windows 我的環境都沒有
還一直研究

剛剛跟同學研究
並沒有不花錢能夠成的

因為 帳號 Authorization 是屬於 layer7(layer 6) 而 IP ACL 是屬於 layer 3
硬是要把這兩個東西 綁在一起 真的需要 花錢解決

RADIUS server  只能做到 我用 windows AD 帳號登入 ROUTER 或是 PIX 做 CONFIG
這樣就不用 一堆 ROUTER 或是 PIX 設一堆帳號

但是 透過 REDUIS 跟 ACL 結合 真的粉不容易
同學是說 CISCO有一套access control server(ACS) 可以輔助結合
把 AD 帳號 轉道 ACS　讓 PIX 來做管控
是不是這篇文章 您研究看看吧
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a00800d9e6b.html#623655

不然就是到
http://www.vlab.com.tw
那邊 network 高手粉多
也需他們可以解決你的問題

  感謝您

剛剛上去看了一下,發現工程還不小,需要時間研究一下.
看來除了架一部ISA Server以外,可能就沒有立即的解決方案了....
剛剛到微軟的社群上去問這個問題,
有一位高手建議,乾脆把IE封掉,
我覺得這也是一個方法.
但是跟我現在所使用的方法比起來,老實說也是差不多的.

所以我現在除了ISA之外,就是用您剛剛所提出的REDUIS 方案了.
我稍微整理一下.
目前的狀況應該是,
1.使用AD
2.有 Cisco PIX
然後將驗證使用者部分交給 PIX
這樣就可以達成讓有上網權限的使用者到處都可以上網,
而沒有權限的使用者不需改任何設定就都不能上網了.
這是我目前所理解的,應該沒錯吧?

現在比較麻煩的是,我如果REDUIS設錯了不知道會不會有影響??
我這裡只有一台PIX,怕到時會影響到公司正常運作.......

------------------------------------------------------
現在在玩戰國無雙,有沒有同好啊??

[huckly]

剛剛上去看了一下,發現工程還不小,需要時間研究一下.
看來除了架一部ISA Server以外,可能就沒有立即的解決方案了....
剛剛到微軟的社群上去問這個問題,
有一位高手建議,乾脆把IE封掉,
我覺得這也是一個方法.
但是跟我現在所使用的方法比起來,老實說也是差不多的.
.

這個方法更好破
只要灌 mozilla 或是 opera 又可以繼續上網了

所以 這時候 我們又要做一個動作了
在 GPO 設定不能安裝應用程式

太好玩了 跟微軟高手過招  不會軟

[chenfm]

剛剛上去看了一下,發現工程還不小,需要時間研究一下.
看來除了架一部ISA Server以外,可能就沒有立即的解決方案了....
剛剛到微軟的社群上去問這個問題,
有一位高手建議,乾脆把IE封掉,
我覺得這也是一個方法.
但是跟我現在所使用的方法比起來,老實說也是差不多的.
.

這個方法更好破
只要灌 mozilla 或是 opera 又可以繼續上網了

所以 這時候 我們又要做一個動作了
在 GPO 設定不能安裝應用程式

太好玩了 跟微軟高手過招  不會軟

有啦,一開始就把裝應用程式,及更改IP內容的功能取消了.
我覺得現在應該做的是,沒有經過RADIUS server 認證的,
就不能上網,連安裝應用程式的功能也取消掉,
如果做成功的話應該還蠻完美的.

[huckly]

加油 成功後再分享看看
雖然你的環境 我 n 年內用不到
^_^

[duncanlo]

我以前有作一個site,
他們的LAN內User是不行上網的,
最多到DMZ內,
想上網請先跑PPTP VPN,
PPTP VPN是用帳號來管...

[Kevin]

呵呵.

終歸還是回到 Firewall 來解決.

1. 在Netscreen 內做認證及授權較簡單. 裡面已經有個簡單的介面,不用外求.

2. 在PIX的話, Firmware 6.x 可以配合Win2k or 2003 的 ISA Radius來做.
    改天來試試.

[huckly]

呵呵.

終歸還是回到 Firewall 來解決.

1. 在Netscreen 內做認證及授權較簡單. 裡面已經有個簡單的介面,不用外求..

請問一下 netscreen 裡面是 認證是要自己一個個設定
還是 可以跟 AD 或是 NDS 或是資料庫結合

2. 在PIX的話, Firmware 6.x 可以配合Win2k or 2003 的 ISA Radius來做.
    改天來試試..

請問一下 2000 本身 不就是有 RADIUS 在 IAS (Internet Authentication Service)
需要再加上 ISA 才能 work 嗎 這部份應位沒做過 請教一下

[chiangtr]

架個 Proxy, Linux 的  Squid 可以做到和AD帳號結合, 再利用 IpTable 就可以做到很好的控管了.... ISA .... 嗯..不予置評 @@

[chenfm]

架個 Proxy, Linux 的  Squid 可以做到和AD帳號結合, 再利用 IpTable 就可以做到很好的控管了.... ISA .... 嗯..不予置評 @@

沒有機器再架個Proxy了......
DC 也是我想盡辦法才湊出來的.

原本只是想看看在純Windows環境有沒有辦法用GPO做到這個要求,
可是現在除了加個ISA以外,好像都得要搭配其它的系統或設備.
所以不考慮用Windows以外的架構,或是需付費的方案,
最好是用AD就可以做到,再不然加個FW也可以,
因為這都是現有的東西.


--------------------------------------------------
其實Windows也滿難的

[Kevin]

1. Netscreen 的simple Authentication 是要一個一個敲.
   所以,如 User多時,也有點麻煩.
   or 考慮 Radius Server.

2.  pix 與 Radius 的配合部份, Sorry 是筆誤, 是IAS Server,  not  ISA.

[chaofu]

Kevin~
請問若用Netscreen,要如何才能實作依使用者管控user上網呢?

chenfm~
反個向思考,若您利用GPO故意將IE指定要透過某一個不存在的ip上網,再搭配你已有設好的不能安裝軟體,這種情況下,是否就可以達到不讓使用者瀏覽網頁的功能呢?

[Overcertified]

各位好:
小弟想請問在 Active Directory 的環境下,
如何設定才能讓沒有上網權限的User,
不能使用公司以外的任何網路資源?

小弟現在的做法是 :
1.將使用者加入Domain
2.在防火牆上將所有IP都設定為無法對外連線
3.將可以上網的User指定IP
4.在將指定的IP開啟上網權限

這樣的流程很麻煩,有沒有辦法可以針對User來指定??
如A有上網的權限,那她使用Domain裡的電腦,
就都可以上網.
B沒有上網的權限,那她不管用Domain裡的電腦都不能上網.

謝謝各位.

Hi~~ AD Domain 和限制使用者上網基本上這個兩件是不同的事情 !! 就算是透過 OU 也只是利用 GPO 去限制使用者哪些東西不能去變更某些系統設定 Ex: 網路設定之類的，所以就微軟的產品解決方案正確的做法應該是安裝 Microsoft ISA Server 並且將 ISA 加入 Domain ! 利用 ISA 內部的 Access Policy + Client Address Set 去限制使用者 ! 基本上 ISA 可以簡單做到你上面的需求，甚至搭配 Web Proxy 還可做到使用者認證    

[changchichung]

小弟的構想如下

block by PC
   建立DHCP Server , 設定 MAC Addr 與 IP 對應
    針對不能上網的IP 設定假的gateway
   利用AD  限制不能變更網路內容

block by user
   這個比較麻煩一點
    先在AD 內分別建立兩個群組 假設叫 A & B
   A 群組為可以上網的使用者
    不做任何軟體啟動的限制
    B 群組為不可以上網的使用者
    設定不可安裝軟體(防止安裝IE之外的瀏覽器)
   視需要 設定不可執行 iexplorer 或者設定假的proxy server 給他
    (近端網址可以排除，避免公司內有WEB base 的AP 在跑)
   
不過 剛剛打著打著 又想到一個狀況
那
那不需安裝即可執行的瀏覽器呢? (如 slephir (不知道有沒有拼錯))
還要再用 GPO 設定不可執行這些軟體

想想, 還是來台FW 比較容易解決吧 @@


p.s squid 有 win32 版本 也許,  也許可以幫上忙 ..

[huckly]

目前我所選擇的方式是
用 switch 切 valn  
好像這樣最輕鬆