How to block users from browsing

Thanks Gert.
We have a working Active Directory on Windows 2003 Small Business server. We would also want to identify users by IP address, but will there be any issues since we use DHCP IOP addresses assigned automatically?

I have also done the configuration for access to the webserver. but I discover pepole cannot access until I create a generic proxy rule. Is this a standard or the first config on the DNAT is ok?

Hope to see ur reply soon.

Hi ekeneduru, 

in this case i would suggust you use the "Active Directory Single-Sign-On" option. 
This way you don't have to change anything at the client workstation and you can manage the users based on the username or even Active Directory group.

That means you can sort the users you want handle special into an active directory group and use it to assign them a special profile which blocks certain websites.

1a) Setup Active Directory
go to "WebAdmin > Users > Authentication > Active Directory tab"
and fill out the first two sections.
You can find more help about these settings in the online help, just click on the Question mark in the title bar and a new window with the ad help will open.

1b) Setup basic SSO HTTP proxy 
go to "WebAdmin > Web Security > HTTP/S > Global tab"
selec the internal networks where all you users are located, select operation mode "Active Directory SSO" and click "Apply"

1c) configure client
go to a client workstation and change the proxy settings in the internet settings of the internet explorer. add the internal ip adress of the ASG as the proxy ip and use port 8080.
Now you should be able to surf through the proxy, you can check this is the http proxy logfile. It should show the username from which you are logged into the workstation

1d) centraly configure proxy in active directory
Internet Explorer proxy settings can be automatically set on all windows 2000, XP  and Vista clients using the Group Policy feature in an Active Directory Domain. This way each client receives the proxy settings automatically, when logging in to the Active Directory Domain. This has several advantages. The settings need not be manually configured on each client and the proxy configuration cannot be changed by the user.

This assumes that a Windows Active Directory domain controller has already been configured.

On the Windows Active Directory global catalogue server start a Microsoft Management Console(MMC), then add the 'Group Policy' snap-in. Choose either 'Default Domain Policy' or the appropriate policy, if you already have one configured, as the 'Group Policy Object'.

Navigate to the User Configuration->Windows Settings->Internet Explorer Maintenance->Connection

Several options are available to customise and here you will find the proxy settings. Configure the settings to fit your environment. Close the MMC and ask the clients to log off and on again.

The proxy settings should now be configured on Internet Explorer on all the clients using the Policy.
now go to a client and add the Internal IP

Once you have that working, we can change the security policy to block/allow certain users.

i hope that helps, 
regards
Gert

You should not need the generic proxy.  Did you check the box on the DNAT for 'Automatic packet filter rule'?

Dear Gert,
Thanks for your help. I seem to have a lot of difficulty in blocking users from the internet. I tried to follow the steps you proferred but i couldnt get through.
Is there a simpler way to get this done? Like having only the hosts we need to access the internet in one group and grant access to them?

Thanks for your urgent response.

Dear Gert,
Thanks for your help. I seem to have a lot of difficulty in blocking users from the internet. I tried to follow the steps you proferred but i couldnt get through.
Is there a simpler way to get this done? Like having only the hosts we need to access the internet in one group and grant access to them?

Thanks for your urgent response.

also you mentioned that users could be blocked by IP - is it possible to still block based on IP if you already have SSO enabled?