二 依靠身份验证限制用户

　　解决了DNS的问题后，我们就可以利用身份验证来限制用户访问了。

　　A 创建允许访问互联网的全局组

　　在域控制器上打开“Active Directory用户和计算机”，如下图所示，在Users容器中选择新建组。

　　组的名称为Internet Access，组的类型为全局组。

　　如下图所示，点击完成结束组的创建。

　　我们只需将允许访问互联网的用户加入Internet Access即可，如下图所示。

　　B 创建允许访问互联网的用户集

　　在ISA服务器防火墙策略的工具箱中展开用户，如下图所示，选择“新建”。

　　启动用户集创建向导，为用户集取个名字。

　　在用户集中选择添加“Windows用户和组”，如下图所示。

　　我们将查找位置设为“整个目录”，对象名称输入“Internet Access”，如下图所示。

　　确定将Contoso.com域中的Internet Access组加入新创建的用户集。

　　完成用户集的创建。

　　C 修改访问规则

　　创建完用户集后，我们修改访问规则，ISA原先有一条访问规则允许内网用户任意访问，我们对规则进行修改，限制只有特定用户集的成员才可以访问外网。

　　在访问规则属性中切换到“用户”标签，如下图所示，删除“所有用户”集合。

　　点击添加，将“允许访问互联网的用户”加进来，如下图所示。

　　这样就相当于ISA服务器将访问互联网的权限赋予了Internet Access组，凡是加入组的用户都将继承到这个权限，他们通过ISA访问互联网时将不会遇到任何障碍，也不会被提示输入口令进行身份验证，您看，在域环境下用户的透明验证是不是真的很方便呢?

　　总结：限制用户访问外网是ISA管理员经常遇到的管理需求，一般情况下不是用IP就是靠身份验证，身份验证在域中实现易如反掌，在工作组中实现就要靠镜像账号了。