none
TMG 2010 - Função Substituição de usuário de regra de negação (SP1) RRS feed

  • Pergunta

  • Olá pessoal,

    Estou com uma duvida na configuração do TMG 2010 SP1, vejam os relatos abaixo.

    Objetivo:

    Fazer com que o TMG trabalhando com o modo de autenticação de proxy Integrado (com o AD DS) além de apresentar a tela de bloqueio de sites não autorizados também solicite novas credenciais para os usuários que possuem credenciais de internet diferentes da de login do windows.

    Tentativas:

    Utilizei a função "Substituição de usuário de regra de negação" função disponível no service pack 1 do TMG 2010, porém estes recurso até onde descobri não faz com que seja solicitado novas credenciais ele simplesmente apresenta um aviso de que  , o que o TMG faz é apenas anular a regra que possui a negação e lê a próxima regra que deve ser uma regra liberando o acesso para estes usuários, caso não tenha uma regra liberando mesmo com a função "Substituição de usuário de regra de negação" ativa o botão simplesmente não aprece e para que está função possa ser habilitada é necessário configurar a regra utilizando somente a "função de categoria de URL ou conjunto de categorias de URL" como destino da regra.

    Tentei utilizar a função de autenticação de proxy Integrado e Básico ao mesmo tempo porém sem sucesso também.

    Observações:

    Em alguns fóruns e blogs li relatos de que não é possível fazer com que o TMG faça o que descrevo em meu objetivo ela criou a função "Substituição de usuário" justamente para não haver intervenção do TI quanto a navegação dos usuários.

    Link sobre substituição de usuário. 

    http://technet.microsoft.com/pt-br/library/ff685648.aspx

     

    domingo, 26 de maio de 2013 08:09

Respostas

  • Levando em consideração o cenário que vc citou o IE não vai solicitar usuário e senha caso a pagina seja bloqueada.

    O que você pode fazer para contornar a cituacao eh abrir o IE com credenciais de um usuário que tem permissão para acesso a site que o usuário logador não tem.

    So clicar com o botão direito no IE e executar como


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA

    segunda-feira, 27 de maio de 2013 16:20

Todas as Respostas

  • Ola amigo.

    Entendi a sua duvida porem não entendi a necessidade da configuração em si.

    Se o usuário que loga no domínio em sua estação de trabalho, é por esse mesmo método que ele recebe a negação ou liberação de acordo como você
    escreveu suas regras.
    Não vejo a necessidade de pedir tela de autenticação, sabendo que as regras descritas a esse usuário é negado.

    ( Neste caso, se o site www.microsoft.com é bloqueado a este usuário, você quer que mesmo assim peça credenciais de um usuário mais elevado )

    Talvez possa ter interpretado mau a sua duvida / objetivo.

    Me adicione no MSN que conversamos e podemos ver no que posso te ajudar, depois postamos aqui o resultados a todos os amigos.

    Forte abraço.


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    segunda-feira, 27 de maio de 2013 05:04
  • Levando em consideração o cenário que vc citou o IE não vai solicitar usuário e senha caso a pagina seja bloqueada.

    O que você pode fazer para contornar a cituacao eh abrir o IE com credenciais de um usuário que tem permissão para acesso a site que o usuário logador não tem.

    So clicar com o botão direito no IE e executar como


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA

    segunda-feira, 27 de maio de 2013 16:20
  • Bem explicar qual é o meu objetivo talvez nem seja necessário utilizar está função do TMG.

    Preciso fazer com que quando um acesso seja bloqueado para algum usuário ele solicite senha(pois em meu ambiente existe usuarios que possui credenciais de login do windwos diferente das credenciais para navegar na internet), porém tenho que utilizar o modo de autenticação integrado e quando algum site negar o acesso ele me solicite senha pois tenho funcionários normais da sessão que possui a senha do gerente(que pode acessar tudo na internet).

    Te adicionei no MSN. 

    Abraço.


    segunda-feira, 27 de maio de 2013 20:00
  • voce me adicionou no msn por este email consultoriaemredes@live.com ?

    Não chegou aqui o pedido.

    abs


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    segunda-feira, 27 de maio de 2013 21:38
  • Junior,

    Como foi falado pelo Fernando no ultimo post, voce deveria postar as soluções dos usuarios que via msn esta te contatando.

    Porem esse é mais um dos threads, que esta bagunçado e sem resposta.

    Voce como contribuidor esta dando mal exemplo, mais uma vez.

    terça-feira, 28 de maio de 2013 15:38
  • Caro luiz fernando ele nem me contatou pelo msn, esta corrido pra mim que nem estou dando muito atenção aqui no forum.
    Outros threads, eu contatei o Fernando e postei todas as soluções nas quais estavam em aberto via msn.
    Sobre exemplo perceba, você novamente esta faltando com educação.
    Não vejo você contribuir em nada apenas criticar.


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475


    terça-feira, 28 de maio de 2013 18:31
  • Luis e Junior

    Por favor não vamos criar confusão e discutir assuntos repetitivos! Ressalto mais uma vez que a nossa intenção no fórum deve ser contribuir, não acusar um ao outro, ou discutir assuntos não técnicos.

    Pelo que vejo, a thread não está nem a 1 dia sem retorno, e o assunto ainda não foi resolvido. Conforme já instruído, caso a solução seja tratada fora do fórum, a mesma deve ser compartilhada aqui também para ajudar os demais.

    Vou manter esta thread em aberto, mas espero que não tenhamos este tipo de problema novamente. 


    Fernando H. da Silva - Microsoft Contingent Staff

    terça-feira, 28 de maio de 2013 18:51
  • Boa tarde,

    Pessoal assim que for solucionado está thread, não importa a meio que ela seja solucionada, eu irei postar a solução.

    Só reforçando minha duvida.

    O que quero fazer é que quando um usuário ter acesso bloqueado a algum site ele me solicite as credenciais novamente, como estou usando o modo de autenticação integrado ele apenas me da a mensagem de "Acesso Negado" e não me solicita credenciais novamente, preciso que ele solicite novamente para que o usuário possa entrar com outra credencial que tenha acesso sem a necessidade de realizar logoff da maquina e entrar com outro usuário que possui acesso ao site bloqueado pelo anterior.

    terça-feira, 28 de maio de 2013 19:44
  • Thompson,

    A unica solução foi a indicada pelo felipe abaixo:

    Levando em consideração o cenário que vc citou o IE não vai solicitar usuário e senha caso a pagina seja bloqueada. O que você pode fazer para contornar a cituacao eh abrir o IE com credenciais de um usuário que tem permissão para acesso a site que o usuário logador não tem. So clicar com o botão direito no IE e executar como

    Infelizmente pelo TMG nao existe outra forma de fazer isso que voce quer.

    Assim que o usuario loga no micro nao tem como mais pedir autenticação.

    Pois ele ja logou, o TMG nao faz isso.

    terça-feira, 28 de maio de 2013 20:00
  • Thompson,

    A unica solução foi a indicada pelo felipe abaixo:

    Levando em consideração o cenário que vc citou o IE não vai solicitar usuário e senha caso a pagina seja bloqueada. O que você pode fazer para contornar a cituacao eh abrir o IE com credenciais de um usuário que tem permissão para acesso a site que o usuário logador não tem. So clicar com o botão direito no IE e executar como

    Infelizmente pelo TMG nao existe outra forma de fazer isso que voce quer.

    Assim que o usuario loga no micro nao tem como mais pedir autenticação.

    Pois ele ja logou, o TMG nao faz isso.

    Está solução seria ideal pra mim porém quando clico com o botão direito no icone do IE ele não me mostra está opção "executar como...", existe alguma GPO que devo configurar para está opção aparecer ? (obs.: tenho estações com Windows XP e 7) 
    terça-feira, 28 de maio de 2013 20:18
  • Voce esta tentando fazer isso no atalho do IE?

    Clique no iniciar - Todos os programas - Internet explorer - botao direito , veja que vai aparecer o executar como


    • Editado Luis_Fernando2 terça-feira, 28 de maio de 2013 20:23 internet
    terça-feira, 28 de maio de 2013 20:21
  • Estava fazendo no atalho mesmo, obrigado pela atenção, deu tudo certo.

    Já que o TMG não realiza o que eu quero que até mesmo concordo que isto seja péssimas praticas, porém aqui onde trabalho existe algumas exceções que não correspondem a logica e as melhores praticas, mas está solução com o botão direito me atende já que são poucos usuários que irão utilizar está função.

    terça-feira, 28 de maio de 2013 21:11
  • Infelizmente ou Felizmente por padrão não eh possível fazer isso de outra maneira.

    Mais o bom eh que após o usuário estiver logado no IE com outro usuário e mesmo não terá restrições para navegar na internet.

    Favo marcar o o que lhe foi útil como resposta.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA

    terça-feira, 28 de maio de 2013 21:35
  • Infelizmente ou Felizmente por padrão não eh possível fazer isso de outra maneira.

    Mais o bom eh que após o usuário estiver logado no IE com outro usuário e mesmo não terá restrições para navegar na internet.

    Favo marcar o o que lhe foi útil como resposta.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA

    Obrigado pela ajuda Felipe.
    quarta-feira, 29 de maio de 2013 00:35