settingsLogin | Registersettings
Show Menu

¿Puedo limitar internet mediante políticas de grupo?

+1 voto
Actualmente estoy utilizando Server 2003 R2 y quiero limitar a ciertos usuarios el acceso a internet, existe alguna politica predefinida para poder lograrlo o tendré que utilizar algún software especifico que me permita hacerlo?
por (7 puntos)  
editado por
Normalmente esto se realiza a nivel del firewall. ¿Qué firewall utilizas?
No quiero hacerlo a nivel de firewall sino a nivel de DC

2 Respuestas

0 votos
 
Mejor respuesta

Tienes varias formas de bloquear el acceso a Internet de los usuarios.

  1. Crea una política de directorio activo que ponga un proxy no válido en la configuración del Internet Explorer, el problema es que si usan otro navegador, este les funcionará.
  2. No le configures una dirección de puerda de enlace y así no tendrán internet y si el usuario no es administrador de la máquina, no podrá poner una puerta de enlace.

Estas son opciones que en realidad no son muy prácticas. Lo mejor es controlar el acceso a Internet mediante tu Firewall.

Te puedo recomendar:

TMG de Microsoft: http://technet.microsoft.com/en-us/forefront/ee807302

PFSense: http://www.pfsense.org/ (gratuito)

IPCop: http://www.ipcop.org/ (gratuito)

por (111 puntos)  
seleccionada por
Muchas gracias a todos por su colaboración, encontré la solución al problema, mediante el Group Policy Management y bajo mi dominio, seleccione la OU donde están los usuarios y allí cree una política como me sugirió Pablo Garcia, no hubo necesidad de Firewall, DHCP o software adicional.
Recuerden que TMG Microsoft lo saca del mercado este 31 de Diciembre ademas de otros productos de la linea Forefront, por lo que deben buscar alternativas ya sean gratuitas o compradas.

Slds,
0 votos
Hola rforeman, por supuesto que puedes, tienes aplicar una GPO al funcionamiento de internet explorer donde se fuerze a ciertas maquinas ( las que quieras ) para que usen un proxy sin salida a internet, e impedir en la misma politica que los usuarios puedan cambiar las configuraciones de conexión, si se lo aplicas al arbol de maquina lo haras a nivel ordenador si lo haces en el arbol usuario al usuario independientemente de donde inicie la sesión.

Espero haberte ayudado.

Saludos
por (9 puntos)  
Muchas gracias por tu respuesta, he buscado en diversos lugares donde pueda aplicar GPO pero no encuentro ya que lo deseo hacer a nivel de usuario, si me pudieras guiar donde encuentro la opción estaría mas que agradecido
Si claro no hay problema, en el árbol de usuarios en plantillas administrativas en configuración de Internet Explorer, también puedes llegar a través de plantillas administrativas/Panel de Control.

Espero que te sirva.
Gracias por tu respuesta pero esta solución solo aplica al internet explorar, utilizando otro explorador tendrán acceso, como podré restringir a nivel de gateway sin tener que configurar la maquina para que tenga internet
Vale, entonces se te complica bastante mas el tema, te has planteado jugar con el DHCP, para asignar un rango de direcciones a las maquinas a restringir donde en su puerta de enlace no haya direccion válida de salida ???, podria servirte o bien en su defecto y si no son muchas quizás te sirva, efectivamente la solución que te aportaba, serviria para explorer, firefox a partir de la version 16.0 con un adm que puedes obtener de microsoft o la propia comunidad, ademas deberias restringir la instalacion de cualquier software incluidos los navegadores que no tengais validados a nivel corporativo, no tiene sentido aplicar seguridad o restricciones en un solo sentido, es como si a una casa le cierras las ventas y dejas abierta la puerta.
Si te puedo ayudar en algo mas ...
A nivel de DHCP me parece ideal pero solo son 43 PC, como hago para que no utilicen las direcciones restantes y de esas 23 hay aproximadamente 25 que tienen que tener acceso, como le hago??
Perdona el retraso en contestar pero hoy cogia vacaciones y he estdo muy liado en mi trabajo, intento explicarte en el servidor DHCP puedes configurar dos grupos el del propio servidor y el del ambito de distribucion de direcciones, pues bien en opciones del servidor configuras el enrutador sin salida a internet y en las opciones del ambito el que tiene salida a internet, las maquinas que SI tienen acceso a internet las configuras en reserva de direcciones si ya tienes el dhcp montado boton derecho y reserva de direcciones y listo lo que va a ocurrir es que cuando una maquina que no usa la reserva de direcciones se conecta le va a dar una IP sin acceso a internet si algun usuario quiere acceso a internet te tendria que decir y le pondrias la maquina en reserva de direcciones, yo he montado varias instalaciones asi y funciona bien un poco engorroso pero bien, no olvides configurar tambien los dns en ambos casos.
Espero haberte aclarado y de nuevo perdona el retraso
...