Bloccare l’accesso a Internet a certi utenti tramite GPO

block1

Spesso come policy aziendale, l’accesso a Internet è permesso solo a determinati utenti della rete. Il problema sorge nell’individuare la soluzione ideale per bloccare l’accesso a chi non è autorizzato.

Le soluzioni che si possono implementare sono diverse con diversi gradi di complessità (proxy, firewall, etc.).

Dove il budget disponibile non permette l’implementazione di soluzioni onerose per il portafoglio, è possibile utilizzare una semplice configurazione utilizzando le GPO di Active Directory.

 

Prerequisiti

Per utilizzare al meglio questa soluzione, sono necessari:

  1. La presenza nella rete di un Server IIS
  2. Gli utenti non devono avere i diritti di Local Administrator

 

Procedura

Tramite un html editor (Word ad esempio) creare un file .html in cui viene visualizzato il messaggio di connessione non permessa e salvarlo con nome default.html.

block2

Sul server IIS creare una directory “nointernet” e copiare al suo interno il file default.html precedentemente creato assegnando correttamente i permessi di lettura al sistema.

block3

Dal server, aprire Start –> Administrative Tools –> Internet Information Services (IIS) Manager. Click col tasto destro del mouse su Sites e selezionare l’opzione Add Web Site.

block4

Digitare nei campi i valori precedentemente configurati ed assegnare una porta (8005 nell’esempio) per il Binding.

Cliccare su OK per creare ed avviare il nuovo sito web.

block5

Il sito appena creato compare nella lista dei Sites del sistema.

block6

Verificare che il sito sia raggiungibile dai client della rete digitando dal browser di Internet l’indirizzo http://IP_server_iss:8005.

block7

Poichè per bloccare determinati utenti viene utilizzata una Group Policy di Active Directory, è necessario utilizzare un security group per contenere la lista di utenti a cui deve essere negato l’accesso a Internet.

block8

Creare un nuovo gruppo AD dando il nome, ad esempio, L-Group-NoInternet.

block9

Dal server utilizzato per gestire le GPO, aprire Start –> Administrative Tools –> Group Policy Management.

Sulla voce Group Policy Objects fare click col tasto destro del mouse e selezionare New. Dare un nome alla nuova GPO e cliccare su OK.

block10

Dal Group Policy Management Editor, selezionare la GPO appena creata, cliccare col tasto destro del mouse e selezionare l’opzione Edit. Selezionare User Configuration –> Windows Settings –> Internet Explorer –> Connection –> Proxy Settings.

block11

Impostare i Proxy Settings con i valori che riflettono la configurazione della rete e cliccare su OK.

block12

Selezionare la nuova GPO da Group Policy Object e cliccare su Add in modo da assegnare la policy al gruppo precedentemente creato.

block13

Specificare quindi il gruppo AD L-Group-NoInternet e cliccare su OK.

block14

Infine assegnare la GPO all’OU desiderata tramite la voce Link an Existing GPO.

block15

A questo punto non rimane che assegnare gli utenti a cui si vuole bloccare l’accesso a Internet al gruppo L-Group-NoInternet. I membri appartenenti a questo gruppo non saranno più in grado di accedere ad Internet.

6 Comments

  1. HackCMR 12/08/2011
    • Paolo 12/08/2011
  2. HackCMR 23/08/2011
    • Paolo 03/09/2011
  3. Ondaluce 02/09/2011
    • Paolo 03/09/2011