第一篇 使用ISA实现用户级验证
公司最近对用户的上网行为进行控制,原本是通过Watchguard X1000通过和公司内部的AD关联进行用户级的验证(如下图),但是后来发现,同一个用户名可以在多台机上使用,于是通过实验,有了这篇文章. 通过ISA的WEB客户端可以对登陆的用户进行用户级的验证,可以实现允许的用户才能登陆放行,还可以实现对特别的网站的访问控制.
文中所涉及的知识及后面可能会要求建立域控制器及新建用户和更改域控制器策略的相关的过程可以参考我以前的建立Windows群集的文章.
Windows群集服务安装一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服务安装二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服务安装三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安装服务四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安装服务五[url]http://waringid.blog.51cto.com/65148/47218[/url])
一:网络的配置图如下:

  域控制器(Domain Control)
  系统版本:win2003 Enterprise 英文版
  主机名称:dc.test.com
  IP地址:10.2.1.2 255.0.0.0  DNS : 10.2.1.2
  网卡网关:10.2.1.1
  硬件相关:单网卡
ISA服务器一(ISA Server)   
  系统版本:win2003 Enterprise 英文版
  主机名称:isa.test.com
  外部地址:DHCP  DNS : DHCP
  内部地址:10.2.1.1 255.0.0.0
  硬件相关:双网卡
  测试用客户端   
  系统版本:WIN2000 中文专业版
  主机名称:dsxtest0001.test.com
  外部地址:10.2.1.100 255.0.0.0  DNS : 10.2.1.2
  硬件相关:单网卡
  各WEB代理设置如下:
第二篇 使用ISA实现用户级验证
按照使用ISA实现用户级验证一([url]http://waringid.blog.51cto.com/65148/49574[/url])的设置配置各机器的IP地址和主机名称,请参考以下的文章建立test.com域,将isa及测试用的客户端加入到test.com中.
Windows群集服务安装一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服务安装二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服务安装三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安装服务四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安装服务五[url]http://waringid.blog.51cto.com/65148/47218[/url])
一:根据企业的部门设置建立不同的组织单位和组
设置组的包含:在企业中,假定test_it_head是经理或企业高层人员专用的组,它的权限可以查看本部门内所有人员的资料,但是他们自已的一些文件则不能被本部门的一般人员查看.那么可以建立test_it_dept部门组,然后将test_it_head加入.这样可以单独针对test_it_head设定特定的权限.
正常安装完AD以后,组是不能进行嵌套定义的,必须要提升域的功能级别为"2000 native"(2000 纯模式)
选定"test.com"右击"Raise Domain Funcational level"(提升域的功能级别)
将图中显示的其它三个组加入到"test_it_dept"组中
二:新建不同的用户
建立"isaadmin"账户用于管理ISA,将它加入"Domain admins"组及"test_it_dept"组.
三:安装ISA2006中文标准版
安装的过程就没有截图了,Windows下的安装是比较简单的,只需要注意四点:一是登陆时使用"isaadmin"登陆到"test.com"中进行安装,另一个是选内部地址的时候选"LAN"网卡.
第三点是虽然系统没有提示要重启,但个人建议重启一下计算机,同样以"isaadmin"登陆到"test.com"中;第四点是系统重启后会有一个SQL的服务运行图标,它可能显示不在运行状态,你要在服务器中输入"isa\msfw"然后再刷新它.
第三篇 使用ISA实现用户级验证
按照上面的第一篇、第二篇,设置好相关参数,现在开始配置ISA2006.在本文中设置"test_it_dept"下的所有用户都可以通过代理上网,但是不允许"test\administrator"访问Google这个网站.
一:设置ISA的外网卡能通过DHCP获取IP
打开ISA2006,选择"查看"-"显示系统策略",加入外网网络,加入后的结果如图示:
二:建立测试用户集
选择最右边的面板-"工具箱"-"用户"-"新建"
  "Test it Dept"包括用户zshan,isaadmin;
  "Domain Test User"包括用户administrator
三:建立测试域名集
选择最右边的面板-"工具箱"-"域名集"-"新建"

四:新建内部访问外网的访问策略
选取左边面板的"防火墙策略",在右边面板上新建访问策略,新建允许内部网络访问外部网络的策略.具体参数如图示:

五:新建禁止administrator访问google.com网站策略
注意:每新增加一条策略,要点"应用"才能生效
  方法同上所示,如图:
六:测试结果
以administrator登陆的结果
以isaadmin登陆的情况
PS:所有的硬件防火墙在使用基于用户级认证的功能时都不能解决一个用户名在多台计算机上登陆的情况.所以使用软件+硬件结合的方式比较好控制.因为使用软件ISA的方法,用户的验证是在系统登陆时进行的,所以只需控制系统登陆的事件就可以了,在AD的用户中有设置"登陆到.."这个选项,可以设定每个用户只能登陆到哪些计算机或是确定为哪一台.当然,如果有更好的方法希望大家一起讨论.
本文出自 “虚拟的现实” 博客,请务必保留此出处[url]http://waringid.blog.51cto.com/65148/49650[/url]

转载于:https://blog.51cto.com/liweibird/133633

使用ISA实现用户级验证(1~3篇)相关推荐

  1. CPU系统级验证——测试激励——imperas公司riscvOVPsimPlus文件分析

    本分析重点关注该repo向量扩展部分. 1. repo简介 该repo是指令集验证的仿真环境包括,大部分是指令集的测试用例,也包含了一些模拟器,如riscvOVPsimPlus. 主要介绍的是risc ...

  2. 应用退出前不让线程切换_用户级线程和内核级线程,你分清楚了吗?

    前天晚上有个伙伴私信我说在学进程和线程,问我有没有好的方法和学习教程,刚好我最近也在备相关的课. 班上不少学生学的还是很不错的.拿班上小白和小明的例子吧(艺名哈).小明接受能力很强,小白则稍差些. 关 ...

  3. 2_MVC+EF+Autofac(dbfirst)轻型项目框架_用户权限验证

    前言 接上面两篇 0_MVC+EF+Autofac(dbfirst)轻型项目框架_基本框架 与 1_MVC+EF+Autofac(dbfirst)轻型项目框架_core层(以登陆为例) .在第一篇中介 ...

  4. linux查看samba目录的配额,问Samba中一个共享目录,怎么限制其容量大小?不是用户级quota!!...

    问Samba中一个共享目录,怎么限制其容量大小?不是用户级quota!! (2012-01-03 04:12:33) 标签: 目录 用户 杂谈 问Samba中一个共享目录,怎么限制其容量大小?不是用户 ...

  5. DPDK在Linux用户级执行环境中执行EAL

    目录 在Linux用户级执行环境中进行EAL 初始化和核心启动 关机和清理 多进程支持 内存映射发现和内存保留 支持外部分配的内存 每个核心和共享变量 日志 CPU功能识别 用户空间中断事件 黑名单 ...

  6. Django官方文档翻译——Django中的用户身份验证(User authentication in Django)

    原文地址:https://docs.djangoproject.com/en/3.0/topics/auth/ Django中的用户权限验证 Django本身自带了一个权限验证系统,它可以用来处理用户 ...

  7. 百万用户级游戏服务器架构设计

    百万用户级游戏服务器架构设计 服务器结构探讨 -- 最简单的结构 所谓服务器结构,也就是如何将服务器各部分合理地安排,以实现最初的功能需求.所以,结构本无所谓正确与错误:当然,优秀的结构更有助于系统的 ...

  8. 计算机登录用户认证,一种计算机系统用户身份验证方法与流程

    本发明涉及一种身份验证方法,具体涉及一种计算机系统用户身份验证方法. 背景技术: 现代社会生活中,无论是科学研究.商业发展.日常办公还是医疗或教育,无一例外地都与计算机技术息息相关.计算机技术的发展使 ...

  9. 【Linux】基础IO --- 内核级和用户级缓冲区、磁盘结构、磁盘的分治管理、block group块组剖析…

    出身寒微,不是耻辱.能屈能伸,方为丈夫. 文章目录 一.缓冲区(语言级:IO流缓冲,内核级:块缓冲) 1.观察一个现象 2.理解缓冲区存在的意义(节省进程IO数据的时间) 3.语言级缓冲区的刷新策略( ...

最新文章

  1. Facebook 正在研究新型 AI 系统,以自我视角与世界进行交互
  2. GridView绑定时通过RowDataBound事件获取数据源列值
  3. win10 linux uefi启动不了系统安装教程,【从踩坑到教程】win10下ubuntu18.04双系统UEFI模式安装、Nvidia驱动安装...
  4. [中文版] 可视化 CSS References 文档
  5. 关于使用Transaction对于非数据库事务的操作
  6. 将某一类型文件还原为无默认打开方式
  7. iPhone 竟没人要了?
  8. UITextField使用的一些细节
  9. Kubernetes详解(十七)——Pod存活性探针应用实战
  10. WCF开发入门的实例
  11. 2022华为软件精英挑战赛-总结
  12. 使用HttpClient通过POST方式发送XML,使用TCP/IP Monitor观察数据
  13. Apache(阿帕奇)Web服务器的安装和使用
  14. CodeForces-721A-One-dimensional Japanese Crossword
  15. 概念模型与E-R模型
  16. 如何从初级程序员变成高级程序员?
  17. Cortex-M核心寄存器
  18. 如何复制他人csdn博客文章到自己博客下
  19. 用vue写一个天气webAPP
  20. macromedia dreamweaber 8 激活码

热门文章

  1. centos7 tomcat_CentOS7下Tomcat应用容器抛出Too many open files问题
  2. python控制结构(二)_Python学习手册之控制结构(二)
  3. Jenkins的关闭、重启
  4. window下安装Oracle11G安装
  5. BAT批处理脚本结合SQL应用案例
  6. Excel多因素可重复方差分析
  7. redis抽奖并发_Redis优化高并发下的秒杀性能
  8. OpenCV学习笔记之图像融合
  9. KMP的c语言实现和学习
  10. django基础知识~RBAC实验部分代码记录