А Вы блог его начальника читали?)))) »
я читала его эмопост на хабре.
и что?
От этого стали отказываться в тот момент, когда ноутбук мог себе позволить средний сотрудник. »
зачем?..
Естественно он пер его на работу, втыкал и жаждал работать, но получал падение порта, нервы и т.д., плюс к этому болезненная тяга некоторых сотрудников к перемене мест тоже не способствовало развитию этой практики. »
это не естественно, более того противопоказано.

весь пост начальника сводится к простой идее - все *дорасы, а он - Д`Артаньян, который хочет сделать всем хорошо, не имея чётких регламентов.
а что бы их написать нужно понять, какие сервисы и как (не порт, не вай-фай, не WIndows) должна предоставлять служба ИТ.
в госах BYOD вообще должен быть строжайше запрещён, ибо гостайны и всякие ФЗ регламентирующие шифрования и прочие бла-бла.

Но так как у нас в такие госы попадают по знакомству и скилл там никому не нужен, то мы имеем такие гос.услуги на всех уровнях.
про ИТ в госах можно вести разговоры очень долго, как про водителей волг и газелей.

в госах BYOD вообще должен быть строжайше запрещён, ибо гостайны и всякие ФЗ регламентирующие шифрования и прочие бла-бла. »
Это университет)! причем как пишет автор, статус Федерального еще не присвоили! От куда там тайны и ФЗ всякие))))) Ректору главное бабло что бы капало)))! В таких заведениях нужны административные регламенты, а не энтузиазм работников!

Это университет) »
кампусные сети тоже имеют свои векторы развития, но сервисы должны быть регламентированы!
статус Федерального еще не присвоили! От куда там тайны и ФЗ всякие))))) »
там есть перс. данные, так что ФЗ в полный рост.
хотя ГТ там нет, ошиблась.

Федеральный закон №152 никто не отменял для подобных нефедеральных учреждений.

на 4000 хостов »
я вот не могу понять, что за универ у нас имеет 4к хостов.
или из них 3500 это заведомо неизвестные клиенты wifi?

Федеральный закон №152 »
Все мы недавно видели(году эдак в 2010-2011) как работники Сбербака выкинули на помойку доки с персональными данными, и ничего им не было за это! Хотя в Банках столько всяких ФЗ)))) и все съехало с рук, причем всем! А Вы говорите про какой-то университет!!! Нет у них в электронном виде персональных данных)))) картотека на всех студентов!)))

Нет у них в электронном виде персональных данных)))) картотека на всех студентов!))) »
отобрать 4к хостов, продать, купить счёты, бумагу, карандаши и ручки, раздать.
остаток прибыли пустить на ремонт хоз.построек.

4000 хостов в сети
Беспроводные точки доступа Cisco разных моделей (~1500 клиентов ежедневно) под управлением контроллера Cisco 44xx
со слов начальника получается что 5500))))

Давайте закончит на этом оффтоп.

я читала его эмопост на хабре. »
:up а ещё у меня есть сомнения:
а админов мало 6 человек на 3000 хостов в итоге домен перестал использоваться. »
6 админов на 3000 узлов в рабочей группе?
Есть ли какие нибудь решения штатными средствами WS2012R2? »
у WS 2012 R2 есть несколько штатных средств для блокирования трафика по пользователям, но они или не подходят автору по тому, что ещё не очень развиты, или у автора пользователи очень "развиты".
я надеюсь в новом сервере\клиенте будет развитие этих инструментов.

Давайте закончит на этом оффтоп. »
ОК)
Forefront TMG уже не продается, если что. »
Этот вопрос беспокоит многих, и нужны пути решения или выхода из данной ситуации)! Хотя Гартнер уже дает нам возможность выбрать) http://blog.trinitygroup.ru/2013/10/blog-post.html
я надеюсь в новом сервере\клиенте будет развитие этих инструментов. »
Хотелось бы) посмотрим что скажет новый SEO мелкомягких!

Это университет)! причем как пишет автор, статус Федерального еще не присвоили! От куда там тайны и ФЗ всякие))))) Ректору главное бабло что бы капало)))! В таких нужны административные регламенты, а не энтузиазм работников! »
У нас федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «*********»
я вот не могу понять, что за универ у нас имеет 4к хостов
Штатных хостов у нас около 2,5к
Forefront TMG уже не продается, если что »
Это я в курсе. Для него сделал отдельный сервер на 2008R2, так как на 2012R2 он не встал, а покупать мы его не собираемся у нас он(TMG) доступен по подписки MSDN
у WS 2012 R2 есть несколько штатных средств для блокирования трафика по пользователям, но они или не подходят автору по тому, что ещё не очень развиты, или у автора пользователи очень "развиты". »
Вы не могли бы рассказать по подробнее про эти средства или хотя бы написать их названия?

Вся проблема в том, что наш отдел это сборище самоучек. В основном там работают студенты этого ВУЗа(ведущий вуз России в области менеджмент-образования(wiki)), соответственно IT-шников там не готовят. Еще 2 человек из технических вузов (вкл. меня(я сетевик, второй ИБ). Работают у нас люди в возрасте от 20 до 23 лет, нашему начальнику чуть, чуть не хватает до 30, сам когда то работал у нас в отделе.
Мы в 6-ом делаем все, что связанно с компами (кроме существенного ремонта(пайка, замена деталей в МФУ, заправка картриджей) это - Настройка цисок, администрирования VMware vSphere, установка винды, помощь юзверам с офисом, подключения 1С, Консультант+, протяжка витух, конфиганья серваков, подключения принтеров, замена картриджей, вытаскиваем замятую бумагу из них.
Но при этом руководству на нас наплевать и какие то нормативные документы для нас писать никто не будет :( , а рулить такой сеткой без домена проблемно. Но пользователям он не нравиться и из за этого нам приходиться прибегать к таким мерам. Вирьё которого в сети навалом и мы просто физически его пока не в состоянии вылечить, так как на компах у всех бардак, некоторые вообще без нашего ведома сносят антивирусы, чтобы компы не тормозили. Недавно на одном из серваков одного из подразделений нашли порнухи на 500ГБ, когда решили освободить место на СХД в связи с его нехваткой. Да и на office 2007 народ еле переезжает, а потом кричит : "Почему у меня .docx не открывается(ставим для этого дополнения к MS office 2003)"

Сейчас ищу решения как в AD пропарсить пользователей из 1С. Для этого буду использовать MS PowerShell, начал его изучать, думаю к концу следующей недели спарсить всех пользователей

Поэтому и не хочется, чтобы все были напрасно и домен опять развалился

Вы не могли бы рассказать по подробнее про эти средства или хотя бы написать их названия? »
один из: Firewall. Вы можете запретить исходящий трафик 80 (443) порт(-ы) и указать для каких пользователей применить правило firewall.
Увы, работает только для пользователей, которые работают за этим компьютером\сервером локально или через RDP.
Т.е. если сделать роутер RRAS из WS 2012 - работать не будет... Вот, хотелось бы чтобы было развитие связки клиент-RRAS-Firewall. Может клиент какой будет для Windows 9... Но это уже фантазии.

в другом не уверен, но предположу: IPsec.
- сделать шлюзом WS 2012
- убрать возможность ввода в домен не административным у.з.
- убрать у пользователей права администраторов
- разрешить подключения к WS 2012 только доменных компьютеров (собственно, только их и можно настроить через групповые политики на подключение к серверу через IPsec)
но RADIUS сервер, думаю, проще в плане настройки...

я думаю, что в вашем случае, лучше всего будет сделать следующее:
- на шлюзе запретить для всех хостов исходящий на порты 80 и 443, кроме:
- разрешить одному серверу выход в интернет (и другим, вроде Exchange)
- на сервере настроить любой бесплатный\платный прокси сервер с авторизацией в домене.