none
Como Restringuir Internet por Active Directory? RRS feed

  • Pregunta

  • Hola a Todos

     

    Mi pregunta es como puedo restringir el internet por medio del Directorio Activo, tengo que crear alguna politica en especial o desde la cuenta del user se puede lograr esto.

     

    saludos

    martes, 27 de enero de 2009 22:16

Respuestas

  • Saludos Noel, como bien lo sabes en ISA server puede poner permisos y restricciones basadas en grupos, de esa manera, basta con que crees dentro de las unidades organizativas un grupo que refleje los mismo usuarios que esta tiene, y sobre esos sea que apliques políticas, hay una opcion adicional que es usando multiples proxys, y asi a traves de directivas de grupo si podrias hacer que cada unidad organizativa saliera por proxy, desafortunadamente con ISA no podemos crear multiples proxys por multiples puertos, asi que deberemos usar software de terceros, por ejemplo Wingate.

    por otro lado, y referenciando lo que dijo el usuario Sergiman, le sugiero a él que le de una ojeada a mi blog, allí le enseño a poner directivas de grupo para poder controlar Firefox .  lo puede ver en http://germanruizp.blogspot.com/2009/04/administracion-de-firefox-via-gpo.html
    Germán Ruiz -- Infrastructure Architect -- Speaker TechNet LATAM -- http://germanruizp.blogspot.com
    • Propuesto como respuesta Germán Ruiz miércoles, 6 de mayo de 2009 20:46
    • Marcado como respuesta Ismael Borche miércoles, 29 de diciembre de 2010 13:33
    miércoles, 6 de mayo de 2009 20:45

Todas las respuestas

  • Un compañero ha realizado esta pregunta  y te adjunto  lo que le respondi como hacerlo o mejor dicho como como lo haria Yo. si no tengo Un Isa Server.

     Mediante GPO, directivas creas una directiva que afecte una OU  ¿como la creas?, vas a la OU  click con el raton boton derecho  seleccionas propiedades click sobre la pestaña de directivas de grupo  marcas nuevo pones el nobre de la directiva  la editas vas a configuracion de usuario, despues configuracion de windows, despues mantenimiento de internet explorer, conexion dentro de conexion configuracion de servidores de proxy aqui tienes que configurar un proxy que es falaso asi no te navegaran.

       Despues tendrias que ir  plantillas administrativas, internet explorer, panel de control de internet y dentro de el  hablilitar la opcion de deshabilitar paqina de conexioned para que no puedan quitar el proxy que has puesto.

    despues de hacer esto cierras vas a ejecutar y realizas lo siguiente gpupdate /force asi se actualizan las directivas. y pruebas .

       para hacer las directivas creas la OU y creas un usuario prueba y en el realizas las pruebas

     

    miércoles, 28 de enero de 2009 9:43
  • La solucion que comentas es buena si solo utilizas como navegador IE. Si instalan cualquier otro (Firefox po ejemplo) esta directiva no se aplicaria.
    Yo lo que haria es crear un fichero de inicio de sesion especifico para ese usurio. En el podrias especificar las propiedades del TCP/IP mediante el comando net y no le pongas puerta de enlace.
    De esta forma no tendria salida hacia fuera.
    miércoles, 28 de enero de 2009 13:05
  •  

    Continuando con lo que menciona Sergiman hay plantillas para GPO para los navegadores más conocidos como los de Mozilla por lo que también podrías agregar la configuración por GPO.

     

    Ahora suponiendo que tenes un proxy, quizás lo más fácil sea hacerlo por ahi.

     

    Saludos.

    jueves, 29 de enero de 2009 11:32
  • Saludos,

    Bien veo que tienes buenas respuestas, aun asi te complementaria que 1. quitar la puerta de enlace no siempre es bueno ya que no en todos los casos la misma nos comunica directamente con internet, muchas veces la puerta de enlace nos comunica con otras VLANS o subredes requeridas para la comunicacion con otros elementos de la empresa,. 2. con el tema de la configuracion, podrias configurar por politica erroneamente un proxy (que no exista) asi los equipos no tendrian salida a internet (al menos via HTTP, HTTPS, el tema es que solo podrias hacer esto con GPOs para IE y Firefox, si tienen acceso a browsers como Safari, Opera etc la unica seria tambien por GPO impedir el uso de los mismos, asi obligas a usar unicamente el browser o los browsers que puedas controlar.
    Germán Ruiz -- Infrastructure Architect -- Speaker TechNet LATAM -- http://germanruizp.blogspot.com
    • Propuesto como respuesta innsomnia jueves, 12 de marzo de 2009 21:37
    jueves, 12 de marzo de 2009 13:35
  • muy buena tios, bueno como los veo tan capos en esto, les queria consultar una cosa, pero antes al que habrio el foro(Francisco...) bueno la ultima te sirve siempre y cuando sea eso lo que quieras es decir tener usuario que entren y otros que no puendan, en otras palabras todo o nada, y eso es muy facil de lograr con los GPOs. bueno ahora va mi consulta, yo queria hacer algo similar
    bueno mejor dicho algo intermedio, tener distintos grupos organizativos, cada uno con diferentes paginas accesibles, por ejemplo el area de contabilidad que solo pueda aceder a el sitio de tributacion de mi pais(Peru), y asi las otras areas, ojala me entiendan, y no me vayan a poner que se puede desde GPO, bueno si me lo ponen sera porq lo hicieron y le salio, no pongan nada si solo lo imaginan, gracias de antemano, saludos.
    miércoles, 6 de mayo de 2009 20:22
  • Saludos Noel, como bien lo sabes en ISA server puede poner permisos y restricciones basadas en grupos, de esa manera, basta con que crees dentro de las unidades organizativas un grupo que refleje los mismo usuarios que esta tiene, y sobre esos sea que apliques políticas, hay una opcion adicional que es usando multiples proxys, y asi a traves de directivas de grupo si podrias hacer que cada unidad organizativa saliera por proxy, desafortunadamente con ISA no podemos crear multiples proxys por multiples puertos, asi que deberemos usar software de terceros, por ejemplo Wingate.

    por otro lado, y referenciando lo que dijo el usuario Sergiman, le sugiero a él que le de una ojeada a mi blog, allí le enseño a poner directivas de grupo para poder controlar Firefox .  lo puede ver en http://germanruizp.blogspot.com/2009/04/administracion-de-firefox-via-gpo.html
    Germán Ruiz -- Infrastructure Architect -- Speaker TechNet LATAM -- http://germanruizp.blogspot.com
    • Propuesto como respuesta Germán Ruiz miércoles, 6 de mayo de 2009 20:46
    • Marcado como respuesta Ismael Borche miércoles, 29 de diciembre de 2010 13:33
    miércoles, 6 de mayo de 2009 20:45
  • Saludos German, si buena alternativa la de el ISA, pero ahi tengo un problema esque mi servidor de dominio es uno mas en el bosque, y creo que el ISA solo te sirve cuando en esa maquina donde esta instalada , es la puerta de enlace, porq cuando intente con esa herramienta lei que las opciones para ver lo de internet solo se habilitan cuando el servidor tiene dos adaptadores de red, bueno seria chevre quesi estoy equivocado me des una queña reseña a grandes rasgos. y para que me entiendas mejor te pongo el todos los servidores q tengo:
    - servidor Opera.(aplicacion para hoteles)
    -servidor BD Opera
    -Servidor O7 (aplicacion para la administracion del hotel como empresa)
    -Servidor BD O7.
    y luego hay otro servidores que son para seguridad y atension, pero bueno ahi tengo un win server NT que solo esta de autentificador de usuarios, servidor de dominio en otras palabras no, bueno lo que quiero es formatear ese y poner server 2003, pero el jefe me dijo que le demos esa funcionalidad, del internet antes ya expuesto, ah tambien tenemos un pequeño cortafuegos, bueno esa seria la estructura o bueno lo mas importante, todos los servidores incluidos el de dominio que sera remplazado por el nuevo servidor de domio van al corta fuegos, pero yo quiero tener el control desde el servidor nuevo, no desde el corta fuegos, si se puede te agradeceria que me lo enseñaras o nose ayudaras, bueno y si tienes la experiecia necesaria para decirme que no, lo entendere y buscare mas. saludos, gracias.

    miércoles, 6 de mayo de 2009 21:27
  • El "control de verdad" del uso de Internet se puede hacer únicamente desde el cortafuegos. Aunque también debes tener en cuenta que no todos los cortafuegos son iguales.

    Un cortafuegos, por definición, tiene que tener dos placas de red, ya que lo que hace es *controlar* el tráfico entre redes.

    Dile al jefe, que sin elementos ni presupuesto, no se puede hacer demasiado :-)
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 7 de mayo de 2009 19:28
    Moderador
  • hola, interesante tu cargo, y bueno eso de las tarjetas si ya sabia algo pero tenia una duda con el ISA Server, porq tiene un grafico donde muestra el servidor conectado al firewally el firewall uniendo las redes como tu dices, bueno queri saber en ese caso mi firewall tiene que tener 3 tarjetas? porq lo que da entender ese grafico es eso, ojala sepas de que grafico hablo, y sino puedes ver en el ISA instalado en los modelos que proponen. ojala me puedas ayudar, muchas gracias por reponder, Saludos.

    jueves, 7 de mayo de 2009 19:47
  • hola, interesante tu cargo, y bueno eso de las tarjetas si ya sabia algo pero tenia una duda con el ISA Server, porq tiene un grafico donde muestra el servidor conectado al firewally el firewall uniendo las redes como tu dices, bueno queri saber en ese caso mi firewall tiene que tener 3 tarjetas? porq lo que da entender ese grafico es eso, ojala sepas de que grafico hablo, y sino puedes ver en el ISA instalado en los modelos que proponen. ojala me puedas ayudar, muchas gracias por reponder, Saludos.

    No, no comprendo. Pero por cada red real (no virtual) que quieras que el ISA controle tráfico debes tener una placa de red.

    Si quieres más general, una interfaz por cada red. La interfaz puede ser real o virtual.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 8 de mayo de 2009 11:14
    Moderador
  • Noel , 

    A lo que te refieres es a los Network Templates , por lo que veo tienes seleccionado el template de 3 Leg Network Adapter. De acuerdo al diseño de red que tu tengas deberas elegir el template acorde. Por lo cual no quiere decir que tu debas configurar como el grafico , si no que tienes que seleccionar el grafico de acuerdo a tu configuracion de red :)

    http://technet.microsoft.com/en-us/library/bb794774.aspx

    Slds
    Sebastian del Rio

    Saludos. Colabora con el foro y vota si el mensaje es util.
    viernes, 8 de mayo de 2009 12:14
    Moderador
  • Sebastian,
    Saludos antes q nada, y gracias por responder, bueno veo que tu tienes casi todas las medallas, ojala me puedas ayudar o talves sepas de alguna forma de controlar el internet de mis usuarios, exactamente ponerles un par de paginas a los que ellos tinen acceso exactamente a mis unidades organizacionales, y bueno la duda parte que si solo eso se puede lograr con un firewall, si fuese asi mi interes seria q mi servidor de dominio (con active directory) sea el firewall too pero sin que sea la puerta de enlace entre las dos redes en esta caso mi lan y el internet, gracias de antemano, ojala me puedas aclarar esa duda para reformar la ideao continuar, gracias.
    viernes, 8 de mayo de 2009 13:49
  • Bueno , que tenga las estrellas solo significa que conteste mas que otros , sin duda cualquiera de los que han respondido te pueden ayudar :). Creo el incoveniente se encuentra en que no se entiende bien lo que quieres hacer ....

    En principio precisaria entender que es lo que quieres hacer 

    " exactamente ponerles un par de paginas a los que ellos tinen acceso exactamente a mis unidades organizacionales"

    No se a que te refieres con que tengan acceso a un par de paginas a tus unidades organizacionales , supongo que lo que estas queriendo hacer es aplicar alguna politica en la cual puedas indicarle al Internet Explorer que solo puedas navegar en X numero de Paginas ?

    Eso es lo que quieres ?

    Como bien te ha mencionado guillermo la mejor manera de restringir internet, es utilizando un dispositivo Firewall, y como bien te han recomendado ISA SERVER cumple la funcion requerida.

    En caso de AD puedes buscar soluciones alternativas , como setear un servidor proxy falso , y hacer por ejemplo excepciones en la configuracion de tal proxy para que eso si salga por tu Default Gateway por ejemplo. Pero definitivamente si quieres una recomendacion seria que instales un servidor Proxy como ISA SERVER o cualquier otro producto del cual dispongas o puedas adquirir para tal funcion ...

    Slds
    Sebastian del Rio
    Saludos. Colabora con el foro y vota si el mensaje es util.
    viernes, 8 de mayo de 2009 17:40
    Moderador
  • gracias, de todas maneras por el interes, saludos.
    viernes, 8 de mayo de 2009 18:47