Как отключить интернет в Групповых политиках домена?
Есть Windows Server 2019 с развернутым доменом и сконфигурированными дефолтными групповыми политиками, примененными к Authenthenicated Users. В них очень много различных настроек, которые должны по дефолту для этих юзеров сохраниться.
Вопрос состоит в следующем - как сделать так, чтобы к некоторой группе юзеров применялась и дефолтная политика и политика работы на этом сервере без интернета?
Пробовал создавать отдельную ветку рядом с дефолтной групповой политикой, где настроил записи реестра, которые должны были прописать localhost в прокси Internet Explorer (права на установку доп ПО у них заблокированы дефолтной политикой) и таким образом не позволить конкретным юзерам использовать интернет, а также сделал неактивным пункт изменения прокси. Сделал gpupdate /force, но у юзера, скажем user1 как был "автопрокси", так и остался, хотя в файлах реестра это все должно быть выключено.
Собственно что менял:
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect "REG_DWORD"="0"
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable "REG_DWORD"="1"
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer "REG_SZ"="127.0.0.1:80"
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride REG_SZ="local"
User Configuration -> Policies -> Administrative Templates -> Windows Components -> Internet Explorer
Disable Changing Automatic Configuration Settings: Enabled
Prevent Changing Proxy Settings: Enabled
В чем может быть загвоздка, подскажите люди опытные =)
Вывод gpresult где? Или гадать будем?
P.S. Это больше похоже на удаление гланд через одно место... Что будете делать если пользователь просто с флешки скопирует "распакованный браузер" и там отключит Ваши настройки? Установку "доп ПО" Вы как запретили? Отключили "Установщик Windows"?
P.S.S. Лучше поднять уже прокси сервер и давать доступ к интернету по группам, а не так как Вы решили делать. ИМХО
Ваша политика отключения куда привязана, на какой OU? Какие фильтры безопасности настроены (Security Filtering) и настроены ли вообще или у вас только Authenticated Users указаны?
Ваша политика отключения где располагается в списке применяемых политик?
в GPMC есть мастер моделирования групповых политик - пробовали его запускать?
Виктор, с флешки не зайдет по двум причинам - автономность сервера и отключены внешние носители (серв управляется через idrac). Установка доп ПО запрещено групповыми политиками домена (в это мне еще стоит погрузиться) - можно установить только через админа.
Понимаю, что лучше прокси сервер, но у меня не стоит цели как-то разделить юзеров сети (для этого есть Циска и Микрот), у меня есть цель не дать на сервере смертным юзерам (разрабам, бухам которые периодически туда будут заходить по RDP для своих целей отключить инет, чтобы те не могли ничего оттуда слить ) - есть цель дать админам возможность выходить в инет, а остальных отрезать.
Роман Безруков, есть политика дефолтная, ее прошлый админ правил не создавая никаких OU, если бы я начинал делать этот сервер с нуля я бы конечно создал OU под каждую задачу, их и редактировать проще и назначение их понимать. Но увы, все настройки проведены в дефолтной групп политике Active Directory.
Касаемо Ваших вопросов:
- в дефолтной политике указаны только Auth Users, больше никакого разделения нет.
- для моей политики отключения рядом с дефолтной создал отдельный юнит
- мастер не пробовал запускать, спасибо, попробую)
Pavel Valeo, Default Domain Policy - она навешивается сверху на весь домен, и там по умолчанию Authenticated Users. Вы создаете свою политику (GPO object), который привязываете либо к отдельному OU - и тут можно обойтись без дополнительных фильтров безопасности, либо ко всем домену (в этом случае так же, как и Default Domain Policy), но тогда требуется дополнительно фильтровать объекты, к которым будет применятся политика (а это Security Filtering, WMI Filters и т.д.)
Ну и ваша политика отключения должна применятся позже, чем Default Domain Policy
По IP адресам это реализовано, некоторые компы не имеют доступа в инет на Циске и Микроте.
У меня задача реализовать на ОДНОМ СЕРВЕРЕ, чтобы скажем юзер и опытный юзер не имел интернета, а админ мог его иметь.
Правильная прокси авторизует пользователя вначале, и потом правила фильтрации применяются по членству в группах. ПК авторизуются под доменными УЗ компьютеров (когда службы в нет лезут), и им можно также отфильтровать доступ.
1. Настройте роутер, чтобы выпускал только прокси-сервер
2. Настройте прокси-сервер, чтобы запрашивал авторизацию пользователя, лучше всего по Kerberos
2.а. Домен у вас есть - настройте в нем группы, кому можно ходить в интернет
3. Настройте правила на прокси-сервере, чтобы он разрешал исходящий трафик только пользователям из конкретных групп.
И потом это поддерживайте в актуальном состоянии. Ну и не забывайте о вариантах вроде USB-WIFI плюс смарт с раздачей интернета.
Всё, что не ограниченно на самом деле может быть обойдено (портабельным браузером, клиентами удаленного доступа и т.п.).
Если на роутере/шлюзе это сделать нельзя - ну попробуйте настраивать им принудительно нулевой маршрут в никуда. :)
А установка программ юзеру запрещена?
А запуск портабельных браузеров контролируется?
А что будет, если юзер принесет на флэшке Firefox Portable и запустит его?
Если каким-то чудесными образом юзер сможет перенести на сервак портабл браузер, то конечно он его запустит. Но ему необходимо будет каким-то образом преодолеть отключение внешних носителей, запрет на передачу файлов по RDP и запрет запуска *.lnk, согласитесь не каждый юзер это сможет сделать)
CityCat4, Бывает, видел. Но зачем для этого рдп? Обычно для этого убунта стоит на десктопах. И кст, на них только флешки и порезанны(ну как порезаны, не автомантируются). Ну а сеть на файрволах ограничивается. Я это к чему - напали на нас злобные хацкеры НАТО, и чтоб этим хацкерам малину обломать рабочую почту завернули в локалку за прокси в москве и доступ только через рдп. И почта стала чуть более чем бесполезна, ибо, чтобы распечатать ЛНД или вложить скан или чещё что-то ты отправляешь это себе с личной на рабочую и обратно. Хотел я поглядеть на гения, что это придумал, и вот заочно познакомился с таким-же. Кст, по теме, что мне мешает отправить с личной на рабочую архив с вирусом, или портал браузером, или ещё с чем - я хз. Дибилизм в полный рост - создали кучу неудобств и минимальным профитом. Да, задидоси почтовый сервер стало сложнее(но только сам сервер, канал-то от этого никуда не делся). Но если его совсем из розетки выдернуть- так его вообще невозможно будет задидосить. Что мертво умереть не может.
Кст, по теме, что мне мешает отправить с личной на рабочую архив с вирусом, или портал браузером, или ещё с чем
Местная ИБ. В банках она злющая не по-детски. В конце нулевых были у меня знакомые девчонки в одном из тогдашних банков. Рассказывали, что несколько раз книжку пытались заховать поглубже в почту, на диске и т.д. - бесполезно, ИБ все находило :)
Простой
Средний
