voila je possède un parc rezo de 200 pc environs et je cherche comment activé ou non  l'internet à certaine personne via active directory
 
et par la meme occasion ce qui serais encore mieu c bloquer le net mais que tout le monde puisse avoir accès à l'intranet qui est heberger en local
 
merci

Moi perso je ne voit qu'une solution, un petit firewall logiciel sur le serveur connecté à internet genre zoneAlarm doit permettre de faire ça. Par contre il ne fonctionne pas par utilisateur mais permet de spécifier pour chaque application (chaque exécutable en fait) si elle a accès ou non à internet et/ou l'intranet.

Si c'est une machine tu enlèves l'ip de passerelle.
 
Si c'est un utilisateur :
 
proxy (GPO des proxy et tu l'enlèves)
NAT (netsh pour virer l'ip de la passerelle).

Comment partages-tu internet déjà ??
 
Active directory n'a rien a voir avec internet.
 
Il te faut un proxy du style ISA server pour windows ou alors une solution sous linux capable d'authentifier l'utilisateur.
 
Si ce sont des mêmes machines à bloquer et non des utilisateurs qui se déplacent de bécanne en bécanne, tu peux aussi établir des réservations sur ton serveur DHCP en spécifiant une fausse passerelle (enfin ca je sais pas si ca marche j'ai pas encore testé )

Le problème c'est qu'avec des postes xp, selon la configuration, ils se fichent pas mal de la passerelle, déjà vécu, cet abruti brodcast jusquèà ce qu'il trouve la sortie pour le web et en plus au passage il faut par terre la bande passante du réseau ...
A vérifier mais perso je déconseille de toute façon d'enlever la passerelle sur les postes concernés ...

le net est géré par un qube 3 cobalt avec routeur adsl+modem branchés dessus.
 
voila  
 
merci de vos reponses

Pour ceux qui ne doivent pas avoir acces à internet, tu leur mets l'acces au net via un proxy bidon, et tu leur interdi de modifier ce parametre, et tout via les GPO.
 
C'est une bidouille mais ça marche nickel

ouai mais bon apres ils ont plus acceès à l'intranet ques hebergé en local...sur un de mes servers

Donc il te faut un serveur ISA ou autre du meme style

 
le coup de la fausse passerelle c est grave a chier.
 
a ton avis, que va t il ce passer kan 50% du parc va essayer de trouver sa fausse passerelle ? Broadcast de la mort ki tue un reso

 
le kobqlt, c est bien Linux kil y a dessus, install toi un vrai proxy dessus et tout le monde ce connecte a ce proxy pour sortir.
 
un bon gros Squid et tes problemes sont reglés. bien sur dans le Fire wall, seul ce proxy est autorise a sortir (tu peux kan meme laisser kke port d ouvert (NNTP, ...)

okay dans le qube 3 j'ai vu qu'il yavauis un squid avec gestion de cache...ca marcherais peut etre avec ca mais bon c un rpogramme dans les mise à jour et le qube est pas encore mis à jour...j'ai pas updater encore...

 
ba moi c est la meilleur solution que j ai a te proposer.
 
Sinon, Squid est en libre telchargement sur le Net, tu le desinstall du Q3 et tu reinstall la derniere version.
 
Une autre solution est d installer un Proxy sur une autre machine. dans ce cas tu aurra la possibilite d utiliser des produit MS mais il fo pensser o surcout dans ce cas la (Windows 2000 server +ISA (asse chere) + liscence d acces au serveur pour chaque client). Une solution Mixte serait : Windows 2000, Apache configuré en proxy mais il resterait tj des liscence a payer

avec le squid on peux bloquer l'accès web avec le host name ou l'user name ?? car j'ai jamais utiliser ce prog

 
 
Squid peut bloker avec IP du client, mais aussi par User name avec une base de User installé sur le Proxy.
 
Il existe aussi des modules pour authentifier avec LDAP et Domaine NT, mais j ai jamais essayé

 
ouai fin si tu a un Firewall entre ton Reso et Internet (je te le souhaite vivement)  ba XP, il se connectera a pas grand chose

 
Si, dans t'es parametre proxy tu dis de me pas utiliser le SRV proxy pour une ou plusieur adresse, mais ton LAN
 
Comme ça par les GPO tu peux bidouillier pour interdir l'acces au net

 
Ajout Suppression de programme, Composant de Windows, Service de mise en réseau, décocher Clientd e controle et découverte...

 
Je saisqu'il se connectera pas, mais ça l'empêchera pas de faire un broadcast qui va surcharger les lignes ...
 
Mefin, cet expérience je l'ai vécu sur un réseau de 80 machines, la problématique est légèrement différente, mais le tout c'est d'avoir quelques chose de propre quand me^me

Avec la manip que j'ai mise le problème est résolu..

 
Ouais mais quels sont les effets secondaires de la supression de ces services ?

comment empecher le broadcast des pc équipés en xp ??

Ben Windows XP ne peut plus trouver les passerelles automatiquement par broadcast. Puis MSN Messenger ne peut plus envoyer de fichiers ou vocal à travers les NAT et Firewall UPnP.

 
  t'as rien suivit toi  

en fait ça fait ça que si on ne mets pas de passerelle c'est ça ??

En effet, si tu ne précises pas de passerelles sur l'interface réseau, Windows XP brodcast afin de la trouvé... (sauf si tu désactive le service en question)

Mais pour une config propre, il vaut mieux indiquer la passerelle.
Et apres bloque l'acces au net par une methode bien propre

En fait on a exactement la même problématique dans ma société et on n'a pas trouvé de solution :
 
- pas de serveur unix donc pas de squid possible,
- plusieurs sites géographiques donc plusieures sorties vers le net
- tout un site intranet qui doit rester accessible: donc pas de bidouille de passerelle sur les clients
 
En fait chaque site dispose d'un serveur relié au vpn. Le serveur de domaine contenant l'active directory est sur un seul site, tout les utilisateurs se loggent dessus mais ne passent pas forcément par là pour sortir sur le web.
 
Donc si quelqu'un à une idée sur ce problème complexe ça m'aiderai beaucoup ! merci.

 
si tes PC accedent a un intranet au traver d un VPN, je suppose kil s ont de configuré une passerelle.
 
donc install toi un Proxy et si Squid n est pas possible, il reste Apache pour windows (pas la meilleur solution mais bon...) ou alors un serveur ISA.
 
une derniere solution consiste a utiliser un fichier d autoconfiguration pour IE

En fait parès avoir discuté avec le directeur informatique, il s'avère qu'un simple blocage au niveau des postes et non des utilisateurs suffirait.
 
Imaginons que pour internet explorer je met de sparamètres de connexion internet bidons, est-ce que le web va planter et non l'intranet même si la connexion réseau à distance est active (pour la session windows). Parce qu'en fait, tout sort par l'adsl, mais ces sorties sont redirigées vers le web ou vers internet selon le cas. Le serveur apache, comment il fonctionne en fait ? Moi je croyais que c'était juste un serveur pour héberger des sites internet ou intranet ...(?).Le hic c'est que des solutions trop complexes telle qu'un serveur isa sont trop lourdes à mettre en place selon le directeur. On ne cherche pas de solution parfaite de sécurité incontournable mais juste empêche les utilisateurs de perdre du temps sur promovacances.com    
 
Sinon pour le script de configuration, qu'est-ce que je dois mettre dedans ?
 
Merci même si je sais que je suis lourd à poser desquestions à la con...

Via GPO tu mets une fausse adresse proxy, et tu coches ne pas utiliser de serveurs proxy pour les adresses local
 

 
Tu peux meme rajouter des adresse internet qui n'utilise pas le proxy. Ensuiste tu interdi à l'utilisateur de modifier les propriete de connexion. (Via GPO)
 
Je pense que c'est ce que tu veux faire, sinon je n'est pas tout comprix
 
Comme solution ça marche nickel

C'est exactement ce que je veux faire ...
Malheureusement je suis un gros boulet en administration réseau windows: GPO c'est quoi ? c'est déjà dans le services win2000 serveur ? sinon c'est payant ?
 
Merci encore une fois !

Ca marche dans les GPO...

OK mais c'est quoi ? comment ça marche ?

Dans Active Directory (AD), tu fais bouton droit propriété sur ton Unité d'Organisation (UO) et dans Group Policy, tu en ajoutes une autres.
 
Dans Utilisateurs, tu verras Modèle d'administration, puis quelques part par là Internet Explorer etc....