我们有一个域控制器 (Windows Server 2008R2),它也是我们的 DNS 服务器。DNS 服务器有一个指向 OpenDNS (www.opendns.org) 的转发器。
我们所有的工作站(Windows XP Pro)都配置为指向我们的本地 DNS 服务器。我不想一直为所有用户屏蔽个别网站,因为这样会变得有点混乱。
理想情况下,我希望允许几乎所有网站(出于安全原因,OpenDNS 中的几个类别除外),然后如果/当管理层认为用户在随意访问时,我将能够阻止他们在 X 天内访问互联网。
使用 Active Directory 可以实现这一点吗?也许是用户配置文件中的内容?
我意识到,关于这类问题是技术问题还是管理问题,存在很多争论。我试图允许所有员工获得更多访问权限,但保留暂时对个人用户实施全面封锁的选项。例如,如果用户每天访问 Facebook 一两次,但不会对其工作产生影响,那么就没问题。但是,如果用户整天都待在 Facebook 上,那么我会在与管理层讨论后封锁他们的互联网,然后在几天后解除封锁,看看是否能吸取教训。
答案1
我有点不好意思承认我以前也这样做过,但我发现这样做的“最便宜”的方法(假设用户无法安装或以其他方式使用第三方 Web 浏览器软件)是使用组策略为违规用户配置 Internet Explorer,使用虚假的 HTTP / HTTPS 代理服务器(即不响应的 IP / 端口 - 最好是实际拒绝 TCP 连接尝试的 IP / 端口)。我将“允许”的网站放入代理旁路列表中。
这是一种非常“便宜”的方式来实现您想要的操作,而且如果用户可以安装或使用第三方浏览器软件,则很容易绕过它。
实现此目的的一种“更正确”方法是强制通过允许每个用户 ACL 的代理服务器进行出站 HTTP / HTTPS。具有 NTLM 身份验证的 Squid 可以做到这一点,无需软件许可成本,并且可以为通过它访问网站的加入域的 Windows 计算机提供相当不错的透明身份验证体验。