Как запретить пользователям ТС Win2008R2 выход в интернет
 

Тема наверное старая как мир, но не ругайтесь - просто по поиску не нашел хорошего решения. Подскажите пожалуйста, как отключить возможность выхода в интернет для отдельных пользователей (или группе так скажем) на терминале Win2008R2 ?

Политиками домена (или локальными если нет домена) отключи использование прокси в IE.

а вообще мало вводных данных по вопросу, как раздается инет, домен?

Поставить Forefront TMG или Cisco ASA и настроить аутентификацию через AD.

Домена увы пока нет, т.к. мало станций, это в будущем. Вопрос тогда про локальные политики - можно поподробнее, как (или где почитать) я могу назначить группе Пользователи1 запрет на выход в интернет, а группе Пользователи2 разрешить. ситуация вообще интересная - прокси увы никакого нет (подозреваю что сеть тупо подключена к порту провайдера), сервер стоит в иностранной (китайской) компании, где бухгалтера русские в одной подсети, и которым интернет не нужен, и вторая подсеть это китайская, где все открыто без всякой авторизации. Хотелось бы закрыть всем пользователям на ТС выход в интернет, кроме входящих в группу администраторы, т.к. там есть служебные учетки, например сервера антивируса касперского, которому нужно оставить возможность тянуть обновления с инета.

4-Villert >учить курс 6420 6424 6425 6436 только внимательно

4-Villert >в выше перечисленных курсах в каждом есть про политики =)

[quote=NOVIchok;26802186]4-Villert >в выше перечисленных курсах в каждом есть про политики =) [/quote]
Справедливо, но автору в его случае, ИМХО, легче поставить тулзу вроде трафик инспектора

7-Dimylka "тулза" конечно спасёт сейчас но в перспективе такой подход приведёт к наличию зоопарка "тулз" которые периодически будут то работать, то не работать и тд. т.е. не системный подход к решению поэтому самое верное решение выучить мат часть при, хотя бы, поверхностном ознакомлении с тем списком курсов, будут возникать уже более конкретные вопросы и прийдёт понимание системы в целом

Может конечно и глупость но все таки идея : А что если запретить запускать интернет эксплорер пользователям ? :)

Вполне рабочее решение :)
[url]http://forum.netbynet.ru/index.php?showtopic=124978[/url]

Мысль, но если пользователи вредные могут притащить какой-нибудь портабл альтернативный браузер, а там как хочешь exe-шник переименовывай...

[quote=NOVIchok;26802541]7-Dimylka "тулза" конечно спасёт сейчас но в перспективе такой подход приведёт к наличию зоопарка "тулз" которые периодически будут то работать, то не работать и тд. т.е. не системный подход к решению поэтому самое верное решение выучить мат часть при, хотя бы, поверхностном ознакомлении с тем списком курсов, будут возникать уже более конкретные вопросы и прийдёт понимание системы в целом [/quote]
Врядли автор, задавая вопрос на форуме, приступит к системному изучению материалов.

Можно запретить сохранять файлы определенного формата.
Направление вот сюда : Windows Server 2003 R2 -> File Server Resource Manager -> File Screening -> Disable *.exe

Вуаля :)

ПыСы: сам не делал, не ручаюсь.

(8) не поможет

может им всем просто шлюз поменять или вообще нахрен убрать?

(15) Вообще читал тему или так, ночью просто не спится ?

Всем спасибо, навели на правильную мысль -))) получилось локальными политиками через Политики управления приложениями. Портабл браузер вряд ли поможет, даже если бухгалтера до такого додумаются -)))) запретил выполнение программ кроме, как из системных каталогов, где пользователи с правами BUILT-IN\Пользователи вряд ли что то натворят, и собственно стартового модуля прикладной программы, где правами доступа к файлу настроено что пользователям нельзя в т.ч. и переименовать exe-шник, уж если до такого додумаются - как то подсунуть вместо него портабл бразуер. у админской группы естественно права запуска остались. вообщем хороший инструмент. на курсы ехать собираюсь.

Зайдя под пользователем, которому надо закрыть выход в интернет через IE, в IE указать использование несуществующего прокси-сервера, а затем запустить файл закрытьIE.reg с содержанием:

REGEDIT4

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]

"AutoConfig"=dword:00000001
"Proxy"=dword:00000001

после чего поменять настройки Подключение-Настройки сети в IE бухгалтер не сможет.

легко - открываем справку любимой программы и жмем - перейти по урл

+

mshta "about:<hta:application windowstate='maximize' navigable='yes' /><script>window.onload=function(){window.open('http://www.e1.ru','_self')**</script>"

и еще не один вариант

если у авторовых усеров 1с, то она вообще сама браузер

конечно и это отрубается

[url]http://www.n-d.ru/pub/%D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA.png[/url]

а так - автор, забей, есть одно средство - отключить от интернета совсем, да и то не факт, что не смогут из терминала отрезанного от инета хоть и физически - качать из интернета, что хотят (не стеб, все реально)

3 поставить ЛЮБОЙ вшивый комп с дискеткой IPCOP и двумя сетевыми адаптерами.
*троллю* и позаботиться о кошельке Заказчика.