ogranicavanje usera na Internet saobracaj u AD

Kako u AD da ogranicim usere na odredjene grupe Internet saobracaja? Neki od njih ce da koriste samo POP3, neki HTTP, a neki i POP3 i HTTP...
U pitanju je Windows Server 2003 !!

Ako nemas neki proxy server poput ISA servera, najelegantniji nacin je preko IPSec polisa. Treba kreirati filtere za odredjene vrste saobracaja (filter za HTTP, filter za POP3, itd), kao i akcije koje ce se sprovesti sa tim filterom (blokiran ili dozvoljen saobracaj). Zatim treba te filtere i akcije iskombinovati u odgovarajucu polisu, a zatim tu polisu pridruziti odgovarajucim grupama korisnika. Procedura bi otprilike isla ovako:

Otvori Control Panel > Administrative Tools > Active Directory Users and Computers, i kreiras tri OU (po jednu za svaku grupu korisnika - za HTTP, za POP3 i za oba) - znaci desni klik na Users, New, pa odaberes Group, i das joj neko smisleno ime (npr. HTTP korisnici, POP3 korisnici i sl.).

Onda kliknes desnim dugmetom misa na prvu OU, odaberes Properties, odes na karticu Group Policy, ako vec nemas neku postojecu polisu, onda kliknes na New, das neko ime po cemu ces da razlikujes tu polisu od ostalih (npr. dozvoljen HTTP saobracaj), kada kreiras novu polisu kliknes na nju i odaberes Edit dugme, otvaras redom grane Computer Settings > Windows Settings > Security Settings > IP Security Policies.

Klikni desnim dugmetom misa na IP Security Policies, odaberi Manage IP Filter Lists and Filter Actions. Klikni na Add dugme, ukucaj ime prema protokolu koji regulises tim filterom (npr. HTTP, POP3 i sl.) i klikni na Add dugme da ga dodas na spisak filtera. Klikni na Next, dodaj neki opis ako zelis, pa klikni opet na Next. Na "IP Traffic Source" prozoru ostavi opciju My IP Address i klikni Next. Na "IP Traffic Destination" prozoru ostavi Any IP Address i klikni Next. Na prozoru "IP Protocol Type" sa padajuce liste odaberi TCP, i klikni na Next. Na prozoru "IP Protocol Port" otkucaj 80 (za HTTP, odnosno 110 za POP3, tj. odgovarajuci port za neki drugi protokol, u zavisnosti sta konfigurises) u kucicu "To This Post" i klikni Next. Da bi dodao filter za sledeci protokol, ponovis ceo postupak (krenes od onog Add dugmeta). Ovde mozes da napravis i razna ogranicenja, da se filter odnosi samo na komunikaciju sa odredjenim IP adresama, mreznim segmentima, serverima i sl.

Posto ne znam sta tacno zelis da blokiras/dozvolis, ti sam napravi filtere koji su ti potrebni. Sledeca stvar je kreirati akcije - Permit vec postoji po defaultu, treba samo da kreiras Block akciju. U "Manage IP Filter Lists and Filter actions" idi na "Manage Filter Actions" jezicak, klikni na Add, pa na Next, pa ukucaj neki naziv (npr. Block) i klikni na Next, pa kad ti ponudi nekoliko mogucih akcija odaberi Block i klikni na Next.

Sada je vreme da sve to iskombinujemo - Klikni desnim dugmetom misa na IP Security Policies, odaberi "Create IP Security Policy", klikni Next, unesi neko ime polise (npr. "blokiraj HTTP, dozvoli POP3"), klikni na Next, odstikliraj (isprazni) kucicu pored "Active the Default Response Rule" i klikni na Next, proveri da li je stiklirana kucica "Edit properties" i klikni Finish.

Klikni na Add dugme, klikni na Next, na "Tunnel Endpoint" prozoru ostavi default vrednost i klikni na Next, na "Network Type" prozoru odaberi "All Network Connections" pa klikni Next, na "IP Filter List" prozoru odaberi neki od filtera koji si ranije kreirao (HTTP, POP3 itd.) i klikni Next (ako si neki zaboravio, mozes ovde kliknuti na Add pa kreirati i dodatne), na "Filter Action" prozoru odaberi odgovarajucu akciju za taj filter (ako zelis da blokiras POP3 i dozvolis HTTP, onda ces, logicno, kod POP3 odabrati "Block" akciju, a kod HTTP "Permit" akciju), klikni na Next (i ovde vazi da ako nisi ranije konfigurisao neku akciju, mozes je ovde dodati sa Add dugmetom), i ponovi celu proceduru za sve filtere i akcije koje zelis da podesis u ovoj polisi. Ovo je otprilike kao slaganje Lego kocki - ovaj protokol blokiram, ovaj dozvoljavam, i tako dok ne podesis za svaki kako ce se ponasati.

Kada podesis sve filtere i akcije u odredjenoj polisi, klikni desnim dugmetom na tu polisu, i odaberi "Assign". Onda sve sto preostaje je da pridruzis odredjene polise odgovarajucim OU (grupama), i tim grupama pridruzis odgovarajuce korisnike. Posle toga, kad god treba nekom korisniku da promenis dozvolu/zabranu za odredjeni protokol, samo ga prevuces iz jedne OU u drugu, i to je to. Ako treba da dodas novi protokol, samo kreiras odgovarajuci filter, dodas ga u odgovarajucu polisu, i ne moras vise nista da menjas.

Nadam se da ce ovo bar malo pomoci. Uz ISA server, sve ovo se svodi na par klikova misem i uz mogucnost malo finijeg stelovanja nekih stvari.

ok .. hvala !
sjutra cu da prbam pa javljam kako je proslo. skinuo sam i ISA server pa cu i tu varijantu da probam ;> javljam i sto je tu bilo!