ISA限制用户上网的技巧
以上我们简单介绍了如何在工作组环境下控制用户上网,接下来我们要考虑在域环境下如何操作。相比较工作组而言,域环境下控制用户上网是很容易做到的,既然有域控制器负责集中的用户身份验证,既方便又安全,如果不加以利用岂不太过可惜。在域环境下控制用户上网基本都是依靠用户身份验证,除了有极个别的SNAT用户我们需要用IP控制。具体的处理思路也很简单,在域中创建一个全局组,例如取名为Internet Access。然后将允许上网的域用户加入此全局组,最后在ISA中创建一个允许访问互联网的用户集,把全局组Internet Access加入允许访问互联网的用户集即可。
域环境拓扑如下图所示,Denver是域控制器和DNS服务器,Perth是域内工作站,Beijing是加入域的ISA2006服务器。