我当前的 Windows 工作网络需要某些用户对互联网具有受限访问权限,而某些用户则具有完全访问权限。
所以我使用了 OPENDNS,因为它是最简单且最具成本效益的选择(免费!)因此,我在 OPENDNS 控制面板中为这些用户授予了有限的帐户和受限制的网站组,例如文件和视频共享、社交网络、成人网站等,并将这些用户的 DNS 设置指向 OPENDNS。
现在我决定将此网络升级到 Windows Server 2008 R2 环境,显然是为了更好地管理,并利用文件服务器上的集中文件存储和访问限制,但我又陷入困境,因为我想让一些计算机使用 OPENDNS 服务器来继续限制,因为这似乎是最简单的方法。但将网络上的所有计算机添加到域也意味着这些用户必须使用服务器的 DNS,这反过来会让他们完全访问互联网。此外,在这个最新的环境中,一些用户根本无法访问互联网(至少目前如此)。有人能帮我吗!
答案1
DNS 确实无法用于访问控制。一旦用户发现可以通过 IP 地址访问网站(包括代理网站),一切就都完了。
如果你正在寻找一个免费的社区网络过滤平台,你可以考虑解开。
答案2
是的,对于简单的互联网访问控制,DNS 可以以非常原始的形式使用,适合那些不知道 DNS 如何工作并且不知道如何绕过您的配置的人……但对于全面控制,您需要一个全面的解决方案。DNS 并非为您预期的用途而设计,因此它不是一种非常强大、可扩展、可靠、万无一失的解决方案,可以满足您的需求。
我的建议是寻找解决方案微软或任何一家拥有能满足您需求的产品的供应商。
答案3
DNS 不用于控制互联网访问,您应该使用防火墙或代理服务器来实现这一点。
如果你要设置域环境,那么肯定需要全部域计算机使用域 DNS 服务器(通常是域控制器);“非常肯定需要”的意思是“这样做,否则一切都会开始变得奇怪和/或根本不起作用”。
你可以让您的域 DNS 服务器使用 OpenDNS 作为转发器,而不是使用您的 ISP 的转发器或自己查找外部名称;但这样,所有 DNS 查询都会从 DC 发往 OpenDNS,它无法过滤任何内容。相反的做法也不行:您可以让您的用户使用 OpenDNS,然后让它将您内部 AD 域的查询转发到您的域控制器并自行解决 Internet 查询...但 Windows 客户端需要进行通信直接地到域 DNS 服务器,不仅用于名称解析,而且还可以在您的内部 DNS 区域中注册自己。
您绝对应该研究代理或防火墙解决方案;DNS 不是为此创建的。
答案4
如果您没有使用组策略对域计算机进行其他配置,则域计算机将仅使用域的 DNS 服务器。根据您所拥有的策略将计算机分组到各个 OU 中。然后为每个明确设置 DNS 设置的 OU 创建组策略对象。您可以在此处找到它们:
Administrative Templates\Network\DNS Client
但就像 joeqwerty 提到的,这不会阻止技术娴熟的人到达他们需要去的地方。