很多单位在使用ISA2006时，都希望用ISA对员工上网进行约束，今天我们就为大家介绍一些限制用户上网的技巧。由于在域和工作组环境下使用的方法有所不同，因此我们将内容分为两部分，一部分介绍在工作组环境下如何操作，另一部分则针对域环境。

我们从工作组开始介绍，在工作组环境下，控制用户上网大多采用两种手段，IP地址或用户身份验证，多数管理员会倾向于利用IP控制。

　　一 利用IP+Arp静态绑定

工作组环境下进行身份验证并不方便，因此管理员一般会采用IP地址进行访对用户名和口令才可以上网?这个需求是可以满足的，只要访问者使用Web代理以及我们将Web代理的身份验证方法改为基本身份验证即可。

在ISA服务器中查看内部网络属性，如下图所示，切换到Web代理标签，点击“身份验证”。

将Web代理使用的身份验证方式从“集成”改为“基本”，如下图所示。

防火墙策略生效后，在客户机上测试一下，如下图所示，客户机访问互联网时，ISA弹出对话框要求输入用户名和口令进行身份验证，我们输入了张强的用户名和口令。

身份验证通过，用户可以访问互联网了!

以上我们简单介绍了如何在工作组环境下控制用户上网，接下来我们要考虑在域环境下如何操作。相比较工作组而言，域环境下控制用户上网是很容易做到的，既然有域控制器负责集中的用户身份验证，既方便又安全，如果不加以利用岂不太过可惜。在域环境下控制用户上网基本都是依靠用户身份验证，除了有极个别的SNAT用户我们需要用IP控制。具体的处理思路也很简单，在域中创建一个全局组，例如取名为Internet Access。然后将允许上网的域用户加入此全局组，最后在ISA中创建一个允许访问互联网的用户集，把全局组Internet Access加入允许访问互联网的用户集即可。

域环境拓扑如下图所示，Denver是域控制器和DNS服务器，Perth是域内工作站，Beijing是加入域的ISA2006服务器。

　　一 DNS设置问题

ISA有两块网卡，两块网卡上究竟应该怎么设置TCP/IP参数，尤其是DNS应该怎么设置?这是个容易被忽略但又很重要的问题，因为DNS既负责定位内网的域控制器，也要负责解析互联网上的域名，设置不好轻则影响内网登录，重则严重影响大家上网的速度。我们推荐的设置方式是只在内网网卡设置DNS，外网网卡不设置DNS服务器。

在本例中，ISA服务器的内网网卡的TCP/IP参数是 IP为10.1.1.254 ，子网掩码为255.255.255.0，DNS为10.1.1.5;外网网卡的TCP/IP参数是IP为192.168.1.254，子网掩码为255.255.255.0，网关为192.168.1.1。这样一来，内网的DNS既负责为AD提供SRV记录，也负责解析互联网上的域名，结构简单，易于纠错。

有朋友认为只有电信提供的DNS服务器才能解析互联网上的域名，这种看法是不对的。我们在内网中搭建的DNS服务器只要能访问互联网，它就可以解析互联网上的所有域名。根据DNS原理分析，如果DNS服务器遇到一个域名自己无法解析，它就会把这个解析请求送到根服务器，根服务器采用迭代方式指导DNS服务器解析出目标域名。因此，想要内网的DNS服务器能解析出互联网上的域名，只要允许内网DNS服务器能访问互联网即可。

A 我们应该在ISA上创建一条访问规则，允许DNS服务器任意访问，并且将这条规则放到第一位，如下图所示。

B 为了提高DNS的解析速度，可以考虑在DNS服务器上设置转发器，将用户发来的DNS解析请求转发到电信的DNS服务器上。

转发器的设置如下，在Denver上打开DNS管理器，右键点击服务器，选择“属性”，如下图所示。

在属性中切换到“转发器”，在转发器IP地址处填写电信DNS服务器的IP，填写完毕后点击添加，如下图所示。这样我们就设置好了转发器，以后Denver解析不了的域名将转发给202.106.46.151，利用电信DNS的缓存来加快解析速度。

　　二 依靠身份验证限制用户

解决了DNS的问题后，我们就可以利用身份验证来限制用户访问了。

A 创建允许访问互联网的全局组

在域控制器上打开“Active Directory用户和计算机”，如下图所示，在Users容器中选择新建组。

组的名称为Internet Access，组的类型为全局组。

如下图所示，点击完成结束组的创建。

我们只需将允许访问互联网的用户加入Internet Access即可，如下图所示。

B 创建允许访问互联网的用户集

在ISA服务器防火墙策略的工具箱中展开用户，如下图所示，选择“新建”。

启动用户集创建向导，为用户集取个名字。

在用户集中选择添加“Windows用户和组”，如下图所示。

我们将查找位置设为“整个目录”，对象名称输入“Internet Access”，如下图所示。

确定将Contoso.com域中的Internet Access组加入新创建的用户集。

完成用户集的创建。

C 修改访问规则

创建完用户集后，我们修改访问规则，ISA原先有一条访问规则允许内网用户任意访问，我们对规则进行修改，限制只有特定用户集的成员才可以访问外网。

在访问规则属性中切换到“用户”标签，如下图所示，删除“所有用户”集合。

点击添加，将“允许访问互联网的用户”加进来，如下图所示。

这样就相当于ISA服务器将访问互联网的权限赋予了Internet Access组，凡是加入组的用户都将继承到这个权限，他们通过ISA访问互联网时将不会遇到任何障碍，也不会被提示输入口令进行身份验证，您看，在域环境下用户的透明验证是不是真的很方便呢?

总结：限制用户访问外网是ISA管理员经常遇到的管理需求，一般情况下不是用IP就是靠身份验证，身份验证在域中实现易如反掌，在工作组中实现就要靠镜像账号了。