К списку форумов К списку вопросов
Как запретить юзерам в домене 2000 (клиенты 2000) менять настройки прокси в IE ?
Egnat
28.06.2004 - 18:33
Как запретить юзерам в домене 2000 (клиенты 2000) менять настройки прокси в Internet Explorer ?
r00t
1 - 28.06.2004 - 19:01
Ест тааакой хааарошый d'cx - групповой полытыка зовется!
ALEX SE
2 - 28.06.2004 - 19:13
Вариант - если прокся что-то вроде ISA то можно все запросы развернуть на твой прокси :) Вне зависимости от того, что они там поставят :)
Egnat
3 - 28.06.2004 - 19:44
Не , ИСУ я не юзаю , поставил на БСД , в принципе там есть НАТ с айпифильтром , соотв. если юзер уберёт галочку в эксплорере , где стоит ссылочка на сквид с прописанными правами доступа , то смогет зайти . Для этого и надо обычным пользователям отключить возможность сымать эту галочку . Блин , всё перерыл - нигде не нашёл ;-(
Паштет
4 - 28.06.2004 - 19:47
тебе в (1) ответили. закрой доступ к страничкам в окне настройки IE
r00t
5 - 28.06.2004 - 19:50
А если юзер вместо ИЕ поставит Оперу или Мозиллу?
Надо фаер поставить, который не даст юзерам обходить проксю.
Херетик
6 - 28.06.2004 - 19:52
Мне тоже интересно, как политикой сделать сабж (в книги-то лень смотреть, как всегда). Но если у тебя, Игнат, БСД - не будь халявщиком, заверни весь траффик на прокси с помощью ipfw. Кальмар все поймет сам, ему только пару опций в конфиге настроить надо, читай http://squid.opennet.ru/
zuav
7 - 28.06.2004 - 20:14
(5)
Лучше и то и другое - политиками запретить менять настройки IE (а заодно прописать нужные, чтобы не настраивать на каждой машине), а фаерволом запретить обход прокси.
ALEX SE
8 - 28.06.2004 - 21:21
Ну от большинства удаленных прокси защититься просто - достаточно перекрыть порты по которым они работают :)
А вообще, имхо, все проще - объяснить директору чем это грозит, подписать у него соответствующее положение, добиться увольнения одного-двух нарушителей, и жить дальше счастливо :)
Паштет
9 - 29.06.2004 - 08:27
(5) плох тот админ у которого юзеры могут ставить сами прогр.
r00t
10 - 29.06.2004 - 09:09
9 - ну у некоторых например среди юзеров могут быть программеры... А ту же самую оперу можно даже не инсталлить - некоторые версии умещаются на дискете.
AlD
11 - 29.06.2004 - 09:19
Я считаю, нечего юзеров натить. У меня с помощью ipfw разрешено все что нужно, типа allow ip from me to any , allow tcp from $ournet to me, а в конце deny ip from any to any. И никто никуда не идет, и интер работает, и натим тех, кому это надо(н-р, налоговая прога от атласа, клиент для продажи карточек интернет....)
Паштет
12 - 29.06.2004 - 09:26
(10) а чем программер отличается от юзера ? На дискете говоришь-я уже и забыл что это такое + дисководов на станциях у меня нет-сняты.
ip
13 - 29.06.2004 - 10:06
Есть такая программа SpyBot она отлично закрывает пользователям настройку IE
Stepan Razin
14 - 29.06.2004 - 10:09
ИМХО, правильнее всего, как и говорилось, закрыть все, кроме соединения через прокси. Помимо браузеров есть другие программы (Kazaa, например). Не должны компы иметь никакогно прямого доступа наружу, кроме того, который явно разрешен.
Yuris
15 - 29.06.2004 - 10:19
А может человеку просто подойдет , если поставит запрет на изменения настроек прокси и прочего в IE в политике безопастности АД???
Так ведь проще всего??? Я закрыл у своих все возможности изменить настройки ИЕ... и все никто никуда уже не идет...
evgeshock
16 - 29.06.2004 - 10:52
должна быть настройка на фаерволе. Вносишь машину в один список - она через proxy ходит, в другой - через маскарад. Поменял пользователь настройки прокси - никуда, разумеется не попал. Никакого интернета. А через маскарадинг начальство обычно ходит и сисадмин...
Stepan Razin
17 - 29.06.2004 - 11:40
(15): NAT есть?
Если да, то когда-нибудь ты будешь приятно удивлен счетом от провайдера, после того, как какой-нить юзер накачает себе порнухи через файлообменную сеть
r00t
18 - 29.06.2004 - 12:08
12 - дык программеры постоянно что-то пишут и запускают. Плюс у них дохера собственного софта. А что касается флоповодов - то они тоже бывают нужны. К примеру бухи часто носят баланс в налоговую именно на дискетах. Или например у нас 5 компьютерных классов - и там тоже никак, ибо студенты часто приносят на дискетах задания. Тут уж остается уповать тока на антивирь
Egnat
19 - 05.07.2004 - 16:46
Дык у меня в сетке ДХЦП стоит , мало ли что , учётка слетит , опять в домен вводит , соотв ИП уже другой , а на инетовском серваке стоит фря со сквидом , мне действительно проще запретить менять настройки ИЕ , а прав устанавливать проги у юзеров нет , так что в этом плане всё ок , да и юзеры у меня не особенно продвинутые
Egnat
20 - 05.07.2004 - 17:09
На самом деле юзеры даже не подозревают об этой галочке , в основном контингент - это дамы среднего возраста :-) просто мне так на душе бы было спокойней , всётаки это изящней сделать через виндозный запрет на изменение подключения в ИЕ .
sergeye
21 - 05.07.2004 - 19:08
Надо найти где-то в registry ..../Internet Settings -- там прописана прокся if any и дать на ветку супер-пуперские права.

К списку вопросов на форуме Сети

>>