صفحه 1 از 2 1 2 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 21

موضوع: اینترنت برای کاربران غیر عضو به دامین

  
  1. #1
    نام حقيقي: ساسان ب

    عضو عادی
    تاریخ عضویت
    Mar 2009
    محل سکونت
    Tehran
    نوشته
    172
    سپاسگزاری شده
    137
    سپاسگزاری کرده
    35

    اینترنت برای کاربران غیر عضو به دامین

    سلام .
    در یک شبکه , یک یوزر ویندوز خودشو عوض میکنه و با وصل کردن کابل شبکه از DHCP ای پی میگیره و بدون اینکه عضو دامین بشه از اینترنت استفاده میکنه
    حالا سوال من اینه چطور میشه جلوی این کار رو گرفت ؟ کاری که به فکر من رسیده محدود کردن Range ای پی در DHCP هست و Reserve کردن اونها برای هر کامپیوتر . یعنی کامپیوتر به اسم masterweb ایپی 172.16.1.4 رو بصورت Reserve داره ...
    خوب حالا 1 مشکل :
    به فرض کامپیوتر Masterweb ای پی 1.4 رو داره وقتی با ادمین لوکال خودش بیاد و بدون اینکه Join بشه به دامین میتونه همین ای پی که برای کامپیوتر خودش هست رو دستی بده و باز به اینترنت وصل شه ... در نهایت من میخوام فقط و فقط شخص وقتی وارد دامین شد وارد شبکه بشه و از اینترنت استفاده کنه ...
    هیچ گزینه ای برای حل این مشکل پیدا نکردم در نتیجه میخوام که بدونم راه حل این کار چیه ... به فرض اگر من Range مخصوص خودم رو در ISA سرور به اینترنت اکسس بدم و بقیه رو بلوک کنم اما باز هم این شخص ای پی Reserve شده ی خودش رو میتونه استفاده کنه و ...



    موضوعات مشابه:
    jalal_tct سپاسگزاری کرده است.

  2. #2
    نام حقيقي: بیجی بوجی

    عضو غیر فعال شناسه تصویری bijibuji
    تاریخ عضویت
    May 2008
    محل سکونت
    وب
    نوشته
    196
    سپاسگزاری شده
    68
    سپاسگزاری کرده
    40

    دامین

    سلام دوست عزیز
    دامین و Active Directory دقیقا به همین منظور طراحی و ایجاد شده اند و اگر با وجود استفاده از دامین نمی تونید به مقاصدتون دست پیدا کنید، این دیگه از مسلمانی شماست!
    اولین اصل در مدیریت متمرکز منابع شبکه اینه که در شبکه شما فقط یک Administrator کل وجود داشته باشه مگر اینکه بخوای مجوزهای خاصی رو خودت به بعضی از Admin های جزء بدی.
    در مورد کنترل دسترس بهترین گزینه کنترل کاربر (User) هستش و نه کنترل از طریق IP .
    در یک شبکه دامینی، کامپیوترها اغلب ترمینال هستند (مثل کیوسک های تلفن داخل شهر که هیچکس نمی تونه ادعای مالکیت اونها رو داشته باشه) و به همین علت کنترل افراد فقط از طریق احراز هویت خود اونها صورت می گیره و نه از طریق پایانه ای که با اون به منابع شبکه دسترسی پیدا می کنند.
    با این وجود اگر مصر هستید که از روش نه چندان درست خودتون (روش محدودیت به کمک آدرس IPv4) کار رو دنبال کنید به موارد زیر توجه کنید.
    - شما می تونید با محدود کردن DHCP به دادن آدرس های IPv4 به آدرس های فیزیکی (MAC Address) مشخص، IP ها رو بصورت منحصر به فرد به کارت های شبکه تخصیص بدید.
    - برای اینکه محدودیت سرعت اینترنت (پهنای باند) رو طبق سلیقتون مدیریت کنید، از نرم افزار های کنترل پهنای باند (مثل ISA server + Bandwidth Splitter) استفاده کنید و در اون پهنای باند رو فقط به محدوده مشخص آدرس IPv4 که در DHCP دادید تخصیص بدید.
    اما اگه می خواید اینترنت محدود به اعضای دامین باشه، کافیه در نرم افزار کنترل پهنای باندتون، یک Rule جدید ایجاد کنید و اینترنت رو فقط به اعضای دامین تخصیص بدید.
    نتیجه رو گزارش کنید.
    موفق باشید،
    پیمان


    ویرایش توسط bijibuji : 2009-03-16 در ساعت 08:27 AM
    jalal_tct سپاسگزاری کرده است.

  3. #3
    نام حقيقي: ساسان ب

    عضو عادی
    تاریخ عضویت
    Mar 2009
    محل سکونت
    Tehran
    نوشته
    172
    سپاسگزاری شده
    137
    سپاسگزاری کرده
    35
    در آیزا امکان محدود کردن اینترنت برای اعضای دامنه وجود داره مگه ؟!
    اگر منطورتون اکسس دادن به رنج ای پی اعضای دامین هست من یک رول تعریف میکنم رنج 10 تا 254 رو به اینترنت اکسس بدم اما گفتم وقتی طرف بصورت دستی همین ای پی رو میتونه بگیره ( حالا چه DHCP بر اساس مک آدرس این ای پی رو بده چه رزو کرده باشه این ای پی برای این کامپیوتر هست ) هیچ فرقی نمیکنه به هر حال میتونه بدون اینکه وارد دامین باشه با وصل کردن کابل و وارد شدن با ادمین لوکال بصورت دستی اینترنت بگیره
    من میخوام طرف حتما وارد دامین بشه و لاگین کنه و بعد ای پی بگیره و یا اینترنت داشته باشه ...

    نقل قول نوشته اصلی توسط bijibuji نمایش پست ها
    سلام دوست عزیز
    دامین و Active Directory دقیقا به همین منظور طراحی و ایجاد شده اند و اگر با وجود استفاده از دامین نمی تونید به مقاصدتون دست پیدا کنید، این دیگه از مسلمانی شماست!
    اولین اصل در مدیریت متمرکز منابع شبکه اینه که در شبکه شما فقط یک Administrator کل وجود داشته باشه مگر اینکه بخوای مجوزهای خاصی رو خودت به بعضی از Admin های جزء بدی.
    در مورد کنترل دسترس بهترین گزینه کنترل کاربر (User) هستش و نه کنترل از طریق IP .
    در شبکه ای که 200 تا کلاینت داره و یک قسمت غرب تهرانه یک قسمت شمال تهرانه و یک قسمت خارج تهرانه من نمیتونم بگم آقا ویندوز عوض کردی خواهش میکنم عضو دامین شو و با ادمین لوکال خودت نیا مستقیم اینترنت بگیر ...


    ویرایش توسط masterweb : 2009-03-16 در ساعت 11:00 AM

  4. #4
    نام حقيقي: بیجی بوجی

    عضو غیر فعال شناسه تصویری bijibuji
    تاریخ عضویت
    May 2008
    محل سکونت
    وب
    نوشته
    196
    سپاسگزاری شده
    68
    سپاسگزاری کرده
    40

    جواب

    سلام
    من جوابتون رو در p30world دادم.



  5. #5
    نام حقيقي: محمد رسول راستی

    مدیر عمومی شناسه تصویری M-r-r
    تاریخ عضویت
    Feb 2004
    محل سکونت
    تهران
    نوشته
    9,452
    سپاسگزاری شده
    4287
    سپاسگزاری کرده
    2701
    کاش اینجا هم نقل میکردید....


    Mohammad Rasoul Rasti
    There's no place like 127.0.0.1
    m.rasti [@] outlook.com

  6. #6
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,546
    سپاسگزاری شده
    6792
    سپاسگزاری کرده
    1032
    نوشته های وبلاگ
    4
    نقل قول نوشته اصلی توسط masterweb نمایش پست ها
    در آیزا امکان محدود کردن اینترنت برای اعضای دامنه وجود داره مگه ؟!
    اگر منطورتون اکسس دادن به رنج ای پی اعضای دامین هست من یک رول تعریف میکنم رنج 10 تا 254 رو به اینترنت اکسس بدم اما گفتم وقتی طرف بصورت دستی همین ای پی رو میتونه بگیره ( حالا چه DHCP بر اساس مک آدرس این ای پی رو بده چه رزو کرده باشه این ای پی برای این کامپیوتر هست ) هیچ فرقی نمیکنه به هر حال میتونه بدون اینکه وارد دامین باشه با وصل کردن کابل و وارد شدن با ادمین لوکال بصورت دستی اینترنت بگیره
    من میخوام طرف حتما وارد دامین بشه و لاگین کنه و بعد ای پی بگیره و یا اینترنت داشته باشه ...



    در شبکه ای که 200 تا کلاینت داره و یک قسمت غرب تهرانه یک قسمت شمال تهرانه و یک قسمت خارج تهرانه من نمیتونم بگم آقا ویندوز عوض کردی خواهش میکنم عضو دامین شو و با ادمین لوکال خودت نیا مستقیم اینترنت بگیر ...
    دوست گرامی
    شما لازم نیست خواهش کنید! کافیست طراحی شبکه تان را به گونه ای انجام دهید که اگر کاربران در Domain نبودند، نتوانند از شبکه استفاده کنند. نتوانند به اینترنت دسترسی داشته باشند، و در کنار این ها مدیریت را مجاب کنید تا قوانینی محکم برای برخورد با کاربران خاطی تعریف کند. اگر در یک شبکه قرار باشد هرج و مرج به اندازه ای باشد که هر کس بخواهد برای خودش ویندوز نصب کند، دیگر نمی توان آن شبکه را جمع کرد.

    @ bijibuji
    این یعنی چه؟! در جای دیگر چه پاسخی دادید؟!! با این کار بحث را می شکنید، لطفا اگر هم مطلبی را جای دیگر نوشته اید، به طور کامل نقلش کنید و لینک به منبع را هم ذکر کنید.


    ARM سپاسگزاری کرده است.
    محمد حکیمی
    hakimi [a t] gmail.com

  7. #7
    نام حقيقي: ساسان ب

    عضو عادی
    تاریخ عضویت
    Mar 2009
    محل سکونت
    Tehran
    نوشته
    172
    سپاسگزاری شده
    137
    سپاسگزاری کرده
    35
    سلام .
    مشکل همین بود که چجوری کاربران رو محدود کنم و در اون زمان راه حلی که به ذهنم رسید محدودیت در DHCP و رزرو ای پی بود چون نمیدونستم آیزا قابلیت دیدن Object های AD رو داره ... خداروشکر حل شد مسئله که من اینجا راه حل رو مینویسم

    ----------------------------------------------------------------------------------

    حتما باید آیزا سرور با اکسس Join به دامین باشه ! بعد تست کنید ببینید DC رو میتونید پینگ کنید اگر تونستین در قسمت Define User باید بتونید یوزر های دامین رو ببینید و TAB ی که انتخاب میکنید مربوط به یوزر های حاضر در AD باشه در نتیجه فقط کسایی که لاگین شدن رو میتونید اکسس بدین و بعد یک گروه یوزر از روی اون TAB بسازید و اونرو اکسس بدین !
    حالا مهم نیست طرف از DHCP ای پی گرفته و یا ادمین لوکال خودش اومده اگر تو AD وارد نشده باشه اینترنت نداره
    من فقط نمیدونستم که آیزا چنین قابلیتی داره یا نه که داره !
    -----------------------------------------------------------------------------------


    ویرایش توسط masterweb : 2009-03-17 در ساعت 12:39 PM

  8. #8
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,546
    سپاسگزاری شده
    6792
    سپاسگزاری کرده
    1032
    نوشته های وبلاگ
    4
    فکر می کنم زود نتیجه گرفتید که مسئله حل شده.
    یک حالت جدید همین مسئله:

    فکر کنید همه این مواردی که ذکر کردین انجام شد و شما دسترسی رو به کاربران Domain دادید.
    PC من عضو دامین نیست. از DHCP تونستم IP بگیرم و با Proxy درخواست وب رو به ISA ارسال می کنم. مثلا با IE، و بعد پنجره ای باز می شه که باید Username و Password وارد کنم. من هم Username و Password ای که در دامین برایم تعریف شده رو وارد می کنم و به اینترنت دسترسی پیدا می کنم. با سیستمی که عضو دامین نیست.

    درسته؟


    محمد حکیمی
    hakimi [a t] gmail.com

  9. #9
    نام حقيقي: ساسان ب

    عضو عادی
    تاریخ عضویت
    Mar 2009
    محل سکونت
    Tehran
    نوشته
    172
    سپاسگزاری شده
    137
    سپاسگزاری کرده
    35
    این حالتی که شما میفرمائید مربوط به پروکسی سرور هست که باید یوزر ها Athunticate کنند ... شما در این رول فقط به ای پی یوزرهای حاضر در AD اکسس اینترنت میدین . از DHCP ای پی بگیرن اما در لیست AD نباشن اینترنت ندارن .



  10. #10
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,546
    سپاسگزاری شده
    6792
    سپاسگزاری کرده
    1032
    نوشته های وبلاگ
    4
    ISA به سه گونه می تواند به کاربران سرویس دهی کند. توضیحی که من نوشتم، مربوط به نوع Proxy بود. شما کدام شیوه را در نظر دارید و توضیحاتتان در مورد کدام شیوه است؟

    شما در توضیحات بالا نوشتین :
    در قسمت Define User باید بتونید یوزر های دامین رو ببینید و TAB ی که انتخاب میکنید مربوط به یوزر های حاضر در AD باشه در نتیجه فقط کسایی که لاگین شدن رو میتونید اکسس بدین و بعد یک گروه یوزر از روی اون TAB بسازید و اونرو اکسس بدین !

    ولی در آخرین نوشته تان اشاره کردید که :
    در این رول فقط به ای پی یوزرهای حاضر در AD اکسس اینترنت میدین.

    به نظر می رسد در توضیحاتتان تناقض وجود دارد، در نهایت در این Rule، به کاربران دسترسی می دهید یا به IP های آنها؟


    محمد حکیمی
    hakimi [a t] gmail.com

  11. #11
    نام حقيقي: ساسان ب

    عضو عادی
    تاریخ عضویت
    Mar 2009
    محل سکونت
    Tehran
    نوشته
    172
    سپاسگزاری شده
    137
    سپاسگزاری کرده
    35
    در این Rule به ای پی کاربران حاضر در AD اکسس میده ( که میشه انتخاب کرد کل یوزر ها یا اونهایی که فقط در اون لحظه در دامنه حضور دارند ) ... در نتیجه ای پی شما تا زمانیکه لاگین نکنید اکسس ندارد !
    در این نوع قابلیت آیزا توان تشخیص خود کاربر رو نداره ( مثلا یوزر MasterWeb ) و فقط از روی ای پی میتونه کنترل کنه


    ویرایش توسط masterweb : 2009-03-17 در ساعت 07:56 PM

  12. #12
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,546
    سپاسگزاری شده
    6792
    سپاسگزاری کرده
    1032
    نوشته های وبلاگ
    4
    تا اونجایی که من می دونم، در ISA امکان ایجاد Rule ای با این تعریف شما وجود ندارد.

    می تونم خواهش کنم دقیقا بگین این Rule چطور تعریف میشه؟!
    شاید واقعا چنین امکانی وجود داره و من هم از آن بی خبرم!


    محمد حکیمی
    hakimi [a t] gmail.com

  13. #13
    نام حقيقي: ساسان ب

    عضو عادی
    تاریخ عضویت
    Mar 2009
    محل سکونت
    Tehran
    نوشته
    172
    سپاسگزاری شده
    137
    سپاسگزاری کرده
    35
    ToolBox - Users-TAB - New - ADD - Windows Group And Users - Location -
    در اینجا یوزرهای AD رو میبینید ...
    اینم یه عکس :

    http://i40.tinypic.com/2d1lr11.jpg

    مشکل جدید :

    ببینید وقتی از روی خود آیزا یک درخواست وب میفرستم در قسمت client/Username منو میشناسه و در لاگ مینویسه :
    Domain\Admin
    اما وقتی از روی یک کلاینت میفرستم یا اونرو به عنوان Anonymouse میشناسه یا اصلا چیزی نمیزنه در قسمت Client Username
    و تا زمانیکه اون کلاینت رو نشناسه که مثلا این کلاینت یوزر Domain\Masterweb هست با استفاده از اون رول که گفتم از روی اکتیو دایرکتوری نمیتونه اکسس بده به اون یوزر ...
    حالا سوالم اینه چطور میشه یوزر هارو با آیزا Athunticate کرد بطوری که هر کلاینت رو بشناسه
    این عکس رو ببینید سوالم رو متوجه میشید :
    http://i39.tinypic.com/30kvmom.jpg
    ایپی 172.16.4.10 با یوزر Domain\Test وارد شده اما چون توسط آیزا شناسایی نمیشه بلاک میشه اما ای پی 127.0.0.1 که خودش هست رو اکسس میده


    ویرایش توسط masterweb : 2009-03-18 در ساعت 01:50 PM

  14. #14
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,546
    سپاسگزاری شده
    6792
    سپاسگزاری کرده
    1032
    نوشته های وبلاگ
    4
    دوست گرامی
    همانطور که حدس می زدم، شما هنوز با ISA آشنایی کافی ندارید، بر اساس شنیده ها و برداشت های نادرست از ISA انتظاراتی دارید که نمی تواند انجام دهد!

    در این Rule شما کاربران را انتخاب می کنید. ولی این ارتباطی به کامپیوتر هایی که در Domain هستند ندارد! کاربران می توانند از روی کامپیوترهایی هم که در Domain نیستند، خود را به ISA معرفی کنند و به این رول Match شوند و دسترسی پیدا کنند.

    همانطور که پیش تر اشاره کردم، ISA به سه گونه می تواند به کاربران سرویس دهی کند:
    1- Proxy
    2- Firewall Client
    3- Secure NAT

    فقط در دو گونه اول، ISA قادر به شناسایی و Authentication کاربران است.

    دوست گرامی
    برای کار با سرویس های Enterprise نمی توانید با سعی و خطا و Try & Error کار کنید و کشف کنید که این سیستم ها چگونه کار می کنند. بلکه باید مستندات و کتابهای مربوطه را مطالعه کنید تا بتوانید از آنها بهره مند شوید.


    محمد حکیمی
    hakimi [a t] gmail.com

  15. #15
    نام حقيقي: ساسان ب

    عضو عادی
    تاریخ عضویت
    Mar 2009
    محل سکونت
    Tehran
    نوشته
    172
    سپاسگزاری شده
    137
    سپاسگزاری کرده
    35
    خوب همونطور که در عکس دیدین ایپی 127 اکسس داره چون شناخته شده ( تحت عنوان Navak\admin )... ولی 172.16.4.10 رو نشناخته . اگر این ای پی هم به عنوان یوزر تحت دامنه شناخته بشه مشکل من حل میشه حالا نمیدونم شما چرا میگین آیزا چنین قابلیتی نداره و شما درک صحیحی ندارین .
    اگر این راه حل اشتباهه پس این امکانی که من در بالا استفاده کردم مربوط به چیه ؟ نوع Athunticate کردن کلاینت های من با اکتیو دایرکتوری از طریق آیزا اشتباهه ...
    در فروم خود آیزا سوالهای مشابهی پرسیدن و کسی نگفته امکان این کار وجود نداره :

    Avoid additional User Authentification (Browser) using IAS -> ISA

    attentication through active directory

    user authentication for firewall clients


    ویرایش توسط masterweb : 2009-03-18 در ساعت 04:09 PM

صفحه 1 از 2 1 2 آخرینآخرین

کلمات کلیدی در جستجوها:

اینترنت برای کاربران غیر عضو به دامین

http://forum.persiannetworks.com/f78/t24298.html

اینترنت دادن به کاربر مهمان در شبکه دامین

چگونه فقط کامپیوترهای عضو دامین اینترنت داشته باشن

محدود کردن dhcp در دادن ادرس به mac خاص

محدود سازی اینترنت در دومین

پیدا کردن mac address از طریقip در شبکه

غیر فعال کردن اینترنت مک آدرس در isa

چگونگی محدود کردن کاربر تحت شبکه دامین برای اینترنت

گزارش کنترل کاربران در شبکه دامین توسط اکتیو دایرکتوری

محدود کردن دسترسی اعضای دومین به اینترنت isa

دسترسی اینترنت فقط برای اعظا دامنه

سرور Isa و join نبودن با ad

چگونه ویندوز 7 ازdhcpآی پی میگیره؟

محدودیت اینترنت در Active Directory

محدودیت اینترنت در یوزر مهمان ویندوز 7

غیر فعال کردن یوزر ادمین در swcth user

اینترنت دادن به یوزر مهمان در شبکه دامین

authentication کاربران اینترنت در isa

isa اکتیو بلاک کردن تمامی کاربران

صفحه لاگین به اینترنت در isa

اینترنت فقط در دامین

اینترنت دادن به یوزر های غیر دامین

محدود کردن زمان لاگین بر روی کامپیوتر خاص دومین forum.persiannetworks.com

محمدود کردن دسترسی به اینترنت اپشن دردومین

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •