Здравствуйте, на предприятии решили 2-ой раз ввести AD, первый развалился через 1,5 года из за того, что юзверы стали переставлять винду и работать под локальными учетками, а админов мало 6 человек на 3000 хостов в итоге домен перестал использоваться. На данный момент поднят домен на WS2012R2, но не хочется наступать на одни и те же грабли и поэтому решено пользователям отключать инет, если они зашли под локальной учетной записью. Слышал, что можно это сделать на MS TMG2010(Бывший ISA). Есть ли какие нибудь решения штатными средствами WS2012R2? А если нет, то как это делает TMG2010?

если они зашли под локальной учетной записью. »
http://technet.microsoft.com/ru-ru/library/cc441610.aspx

из за того, что юзверы стали переставлять винду и работать под локальными учетками, »
Принимайте карательные оргмеры административного характера.

первый развалился через 1,5 года из за того, что юзверы стали переставлять винду и работать под локальными учетками, а админов мало 6 человек на 3000 хостов в итоге домен помер. »
тут нет причинно-следственной связи
но не хочется наступать на одни и те же грабли и поэтому решено пользователям отключать инет, если они зашли под локальной учетной записью. »
если у вас столь низная квалификация ИТ, то отсутствие интернета ничего не решит.
но вы можете попробовать.
Есть ли какие нибудь решения штатными средствами WS2012R2? »
нет.
но есть от других вендоров.
А если нет, то как это делает TMG2010? »
в отличие от WS она требует аунтификацию, поэтому пользователи все аунтифированы.

хотя, я думаю, вам это не поможет.

Принимайте карательные оргмеры административного характера. »
У нас гос. компания, где нет дела, до ИТ. Недавно перестало работать одно подразделение, из за того, что сервер после выключения энергии не загрузился нормально, а все из за того, что в серверной 2-ой год не могут поменять батареи на ИБП.
Я думаю и сейчас если сделать инет, только доменный пользователям, то такая буря негодования от сотрудников поднимется.

тут нет причинно-следственной связи »
Из за того, что в основном пользователи никогда не работали в домене им он не нравился, что у каждого сотрудника свой раб стол и прочее, они привыкли работать под одной учеткой и все. Он есть сейчас, но в нем только наше подразделение и бухгалтерия. Все остальные благополучно из него вышли.

но есть от других вендоров. »
Если рассматривать варианты, то это наверное OpenSource, проблема в том, что нам не дадут денег, на закупку ПО. У нас его и так почти нет кроме 1С, консультанта, MSDN (Серверные продукты, без ОС и офиса) и VSphere4.

в отличие от WS она требует аутентификацию, поэтому пользователи все аунтифированы.
хотя, я думаю, вам это не поможет. »
Почему Вы думаете это нам не поможет и где можно более подробно прочитать про данную технологию?

У нас гос. компания, где нет дела, до ИТ. »
Вы не поверите, где только нет дела до IT. Так что это не показатель. Пишите докладную с предложениями. Подавайте под роспись. В случае отказа — подавайте на каждый вышеописанный случай. Копите папку. Потому как в итоге гореть будет Ваша задница, а не их.

Я думаю и сейчас если сделать инет, только доменный пользователям, то такая буря негодования от сотрудников поднимется. »
Аналогично. Докладную на имя руководства. С разъяснениями и предложениями. С экономическими выкладками, если сумеете. Будет положительная резолюция — действуйте. Всех обиженных направляйте к руководству.

У нас гос. компания, где нет дела, до ИТ. »
Это утверждение тоже неверно - проблема в руководстве ИТ отдела. Судя по всему, это не вы. Поэтому дальнеший разговор беспредметен. Всё что вы, как рядовой исполнитель, можете сделать - писать СЗ, визировать их и иметь под рукой. От "ковра" вас это не спасёт, но у вас будут обоснования собственного бездействия.
из за того, что сервер после выключения энергии не загрузился нормально, а все из за того, что в серверной 2-ой год не могут поменять батареи на ИБП. »
BIOS - Always ON.
Я думаю и сейчас если сделать инет, только доменный пользователям, то такая буря негодования от сотрудников поднимется. »
не вы это регламентируете, поэтому не вам давать или не давать интернет. Это сервис, не более того.
Если у вас приступы "вахтёра" - это проблема вашего руководства.
Из за того, что в основном пользователи никогда не работали в домене им он не нравился, что у каждого сотрудника свой раб стол и прочее, они привыкли работать под одной учеткой и все. »
Регламенты работы, стандарты предприятия, and so on.
Почему Вы думаете это нам не поможет и где можно более подробно прочитать про данную технологию? »
почитать что такое аунтификация пользователя можно в любом рукводстве администратора Windows OS.

BIOS - Always ON. »
Он загрузился, но люди не смог нормально подключиться к сетевым дискам.
не вы это регламентируете, поэтому не вам давать или не давать интернет. Это сервис, не более того.
Если у вас приступы "вахтёра" - это проблема вашего руководства. »
Ограничивать доступ к инету, мне приказало начальство.

Ограничивать доступ к инету, мне приказало начальство
Вот, и распишите этому самому начальству по пунктам, что для этого нужно сделать, а не плачьтесь про негодующих сотрудников, привыкших самопально переставлять винду.

Вот, и распишите этому самому начальству по пунктам, что для этого нужно сделать, а не плачьтесь про негодующих сотрудников, привыкших самопально переставлять винду. »
Вообще я создал эту тему, для того, чтобы узнать с помощью каких средств это можно реализовать, а не затем, чтобы плакаться.

с помощью каких средств это можно реализовать »

Средство известное: докладная записка.
Одна-другая -- и при правильной реакции руководства без вас уже никто ничего переставлять не будет.

ЗЫ
Кстати, мне за 7 лет, при количестве пользователей до 300 человек, этим методом пользоваться не приходилось (единственный раз устно пожаловался -- и то по менее критичному поводу) -- однако никаких такого типа эксцессов не было. Но пользователей мягко предупреждал сразу, что если они займутся отсебятиной -- от нас помощи не будет. Что означало, что при проблемах они остаются без рабочего места, с вытекающими последствиями -- особенно когда будут гореть сроки.

Вообще я создал эту тему, для того, чтобы узнать с помощью каких средств это можно реализовать
Вам уже почти всё рассказали:
0. Правила работы каждому сотруднику под роспись
1. AD и запрет локальных администраторов
2. TMeter (www.tmeter.ru), например, установленный на шлюзе, имеет собственный агент авторизации, позволяющий аутентифицировать пользователей в т.ч. средствами домена Windows

Вообще я создал эту тему, для того, чтобы узнать с помощью каких средств это можно реализовать, а не затем, чтобы плакаться. »
Вам в этой теме рассказывают, как и что нужно сделать.
Ваш вопрос вовсе не уникален.
вместо "WS2012R2" можно подставить "win2k/win2k3/win2k8/etc" и получить теже ответы, в интервале последних 10 лет.
отвечающие вам либо уже прошли этот этап, либо недопустили его, поэтому ответы, фактически, одинаковы.

Если вам не интересны ответы людей, то зачем спрашивать?
ещё раз повторю вам - органичение интернета ничего не даст, вообще. Ну кроме "тёмной" для вас, как исполнителя.

Здесь (http://habrahabr.ru/post/163027/) приведен пост моего начальника, который примерно обрисовывает наше предприятие и как в нем работают политики безопасности, а так же пользователи
А за советы большое спасибо, обязательно приму к сведению.

fcdm25,
печально.

политики безопасности »

Пока сложно сказать, что какие либо политики безопасности наличествуют...

OTRS - а то, что внедрили helpdesk, уже лучше. Хотя, в целом, ситуация патовая - при наличии, как я понял, 6 админов (не эникейщиков), причем недостаточно опытных, реорганизовать вашу инфраструктуру с её "кошками" и вланами аццки сложно без грамотных аутсорсеров...

бардак.
такие бабосы потратить на такое оборудование и так управлять... вот ж* будет гореть, когда что-то сломается)

Forefront TMG уже не продается, если что.
Да и проблема тут гораздо глубже, нежели ограничение доступа в сеть недоменным пользователям. И решать эти проблемы, как уже сказано выше, нужно решать на "бумажном" уровне.

А вообще можно попробовать решение на основе RADIUS-сервера.

Denis Dyagilev,
да можно и Port Security и NPS и RADIUS и фортинеты с клиентами, вопрос лишь в том, что на лицо несоответствие ИТ и задач.

Denis Dyagilev,
да можно и Port Security »
А Вы блог его начальника читали?))))
На всех портах уровня доступа стоял port security с меткой по MAC-адресу, при подключении другого компьютера — порт падал. От этого стали отказываться в тот момент, когда ноутбук мог себе позволить средний сотрудник. Естественно он пер его на работу, втыкал и жаждал работать, но получал падение порта, нервы и т.д., плюс к этому болезненная тяга некоторых сотрудников к перемене мест тоже не способствовало развитию этой практики.
Radius для точек доступа - да. ИМХО Чистый NPS с сетевыми политиками на 4000 хостов - это очень сложно реализуемо)!