Bon voila :
 
Un server 2000 fais office de passerelle vers le net pour les postes clients grace au routage et accés distant.
 
Je me suis rendu compte que même si les machines ne sont pas connecté au domaine et ben ELLES ONT LE NET  
Et ca c' est une situation insupportable pour la sécurité de mon domaine  
 
Comment faire pour que les postes non connecté au domaine n' est absolument aucun accés au net possible ou au moins qu' on leurs demande de s' authentifier sur la passerelle ??????????

Bon ben la y' a pas foule

symantec a écrit a écrit : Bon voila :   Un server 2000 fais office de passerelle vers le net pour les postes clients grace au routage et accés distant.   Je me suis rendu compte que même si les machines ne sont pas connecté au domaine et ben ELLES ONT LE NET   Et ca c' est une situation insupportable pour la sécurité de mon domaine     Comment faire pour que les postes non connecté au domaine n' est absolument aucun accés au net possible ou au moins qu' on leurs demande de s' authentifier sur la passerelle ??????????

Faire ca simplement ca va être difficile ... à mon avis

Y' a pas une stratégie qui empéche l' utilisation du net .....
 
Comme dans les boîtes : un groupe de user qui a accés au net et qui demande un pass et un nom de user dés qu' il veut aller sur le net  
 
C' est pas possible que MS est pas prévus ca

Je ne connais pas du tout 2k ser, AD, les GPO, etc.. mais j'ai approché les resrictions appliquées via GPEDTI.MSC sur un XP Pro.
 
Il y a moyen de forcer les paramètre d'IE (Proxy, etc..).
 
Ne serait-il pas possible de jouer avec ce paramètre ? Utiliser un proxy pour tous les Users logués (appliqué par AD si j'ai bien compris (du peu que j'en ai entendu)).
 
Enfin un truc dans le genre.

Ils font ca par un système de Proxy  .. et qd c'est celui de Microsoft, c'est plus simple encore pour les clients Windows, car il sait gérer l'authencation sur un domaine NT (il sait interroger un controleur de domaine en gros)
Mais pour le routage, en lui même et tout seul, c'est impossible de faire la même chose à cause de la nature même des infos contenues dans les paquets IP : il n'y a que les IP sources et destinaires d'intéressantes en gros ... on peut donc pas matcher un login/mdp sur un domaine, car ca serait une cata en terme de perfs je pense ...

Par contre au niveau de la startégie je sais pas ... faut creuser mais ce sera pas une solution simple à mon avis ... faut voir si on peut restreindre un client à certaines adresses IP par le biais d'une stratégie ... mais là je sais pas

Bon ben mon problêmes actuel c' est que je peux plus accéder aux propriétés de la MMC.
J' ai un accés refusé a chaque tentative  
Même avec tout les run as que je veux ca passe pas  
 
Je remarque un truc bizarre sur mon serveur c' est que le proccesus LSASS.EXE me prends 30 mégas (c' est cdelui qui prends le plus)
 
Je trouve ca bizarre  
 
Pour rappel LSASS.EXE s' occupe de toutes les authentifications et des autorisations  
 
Putain mon serveur part en couille
Ca craint  
 

la proposition du proxy est surement la reponse a ta question car je vois aps comment autrement

 
Moi j' ai pas trop envie pour l' instant d' installer un proxy (c' est pour biêntôt avec ISA Serveur)
Le routage et accés distant fonctionne trop bien mais bon au niveau sécurité j' ai des doutes  
 
Je suis peut être parano mais vue que c' est facile de se connecter au net de l' intérieur, je vois pas pourquoi de l' extérieure ca ne serais pas pareil..........

Dans ce cas, fw ...

suis vraiment trop con moi ce soir
 
et dans rras t'as essayer de jouer avec stategie d'acces distant?

Bon si vraiment y' a pas de solutions, je mettrais en place Isa Server
Mais bon malgré les tutoriels c' est quand même balaiez comme machin  
 
Mon edonkey y vas passer ?????    

regarde ca avant
dans la mmc de rras : stategie d'acces distant

 
Ben moi aussi je suis un peu con parce que c' est en voulant faire un tour la dedans que je me suis rendu compte que j' avais que des accés refusés !!!!!!!
 
Faudrais que je reboote mais ca m' embéte un peu a l' heure actuelle
Je suis en plein gros download  
 
 
Mais je pense qu' il y' a moyen de faire quelques chose la dedans  
 
Parce que si y' a tout le monde, je le vire et je mets "utilisateurs du domaine"  
 
 
Je fais un up dés que j' ai retrouvé la main sur mes autorisations........

quand tu fais une nouvelle strategie tu peux choisir appartenance a un groupe windows
 
par contre pas encore tester donc tiens nous au courant du reglage qui va bien si ca marche

quand tu retourneras dans la mmc de rras clique sur l'aide y a tout plein sur ca

ben alors tu en es de ce pb?
 
tiens nous au courant
 
suis con remarque je pourrais tester de mon cote

J'ai une idée, mais ca demande pas mal de boulot, c'est vraiment si t'a rien d'autre !!!
 
Dans les paramètres DHCP tu enlèves les infos de passerelles internet -> Plus de net.
 
Tu actives les connections VPN sur ton server et dans les infos VPN la passerelles est automatiquement envoyée.
 
Tes users VPN sont autentifié par AD et donc, seuls les users du domaine auront le net. (il faut leur crée la connection VPN...)
 
C'est une solution de taré, mais ca peut marcher...
 
Bon vive ISA Server