none
ISA如何对机器名来设置访问权限 RRS feed

  • 问题

  • 客户端地址都是DHCP而且数量很多。公司有台isa2006。使用者的域帐号有权限就能上网,数据存在安全隐患。老板就让我把N多很分散的机器设为不能上网,就算登录的帐号有权限也不行问题来了,如果按地址在ISA来一条条设置,会相当烦。机器数量>200台。我又通过gpo来设置,把N台机器名加到拒绝从网络访问这台计算机,但是测试下来针对域帐号,或者组设置是有效的,机器名的话没用。请问有什么简便的方法,能通过设置机器名的方法来拒绝访问这台ISA服务器?或者isa还有其他思路来实现这样的要求,谢谢!!!

    2008年7月2日 9:04

答案

  •  

    我试了下你这种方法,的确不行。

     

    看来只有你使用域计算机账号来建立计算机集了。

     

    从你说的情况来看,你们庆是用的WEB代理或是防火墙代理客户端吧。

    这两种可以不要网关的,那就从组策略限定不让这些机器设置IE代理,不让这些机器安装防火墙客户端。这样子就可以解决问题了。

     

    利用组织单元。组策略。试下?

     

    2008年7月7日 2:59

全部回复

  •  

    如果被限制的客户机的 IP 为某个固定地址范围,可以在 ISA 上创建计算机集,并在防火墙策略中禁止该计算机集成员访问Internet。

     

    2008年7月2日 9:55
  • 就是因为都是DHCP,又分散在各个网段才烦啊。。。。。。又要在dhcp上面绑定地址,还要在ISA上面加计算机集工作量太大了。。。。。

    2008年7月7日 1:21
  •  

    我试了下你这种方法,的确不行。

     

    看来只有你使用域计算机账号来建立计算机集了。

     

    从你说的情况来看,你们庆是用的WEB代理或是防火墙代理客户端吧。

    这两种可以不要网关的,那就从组策略限定不让这些机器设置IE代理,不让这些机器安装防火墙客户端。这样子就可以解决问题了。

     

    利用组织单元。组策略。试下?

     

    2008年7月7日 2:59
  • 呵呵,首先谢谢斑竹大人关心我这个问题

    我的确试过新建一个ou,把需要的机器全部加进去。然后针对这个OU来设GPO里面的machine策略。但是machine里面没有策略来限制禁用PROXY的选项,我就写了条bat加到启动和关闭项里面。

    reg add "HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel"  /v  "Connection Settings" /t REG_DWORD /d 00000001 /f
    这条的作用就是把设置proxy的lan setting这个按钮变灰。但测试下来还是不行,查了N那多资料才发现以前都是在HKEY_LOCAL_MACHINE里面修改都成功的,但是这次要改HKEY_CURRENT_USER就不行了。呵呵,实在不行就只能傻做了,一条条往ISA里面加了。

     

    还有个题外话,看到某个帖子上说ISA上面说VPN设置之后内网可以访问,外网就一直停在帐号验证的地方。我也遇到了同样的问题。后来斑竹推荐他看你写的文章,请给下地址吧,我也想参考一下。谢谢

    2008年7月7日 3:22