11
Internet Explorer Proxy Eintrag GPO
Hallo zusammen,
Ich habe folgendes Problem:
Ziel ist es, dass Clients in einer AU nur Zugriff auf gewisse Internet Seiten haben sollen, sonst ist kein Zugriff aufs Internet erlaubt. Intranet soll offen sein.
Standardmässig ist kein Proxy definiert.
Bis anhin hatte ich das über eine GPO "Internet Explorer Wartung-Verbindung-Proxyeinstellungen" sehr gut hinbekommen.
Hatte einfach den Proxy auf 127.0.0.1 eingestellt und in den Ausnahmen die einzelnen Adressen wie z.B "*mir_ist_egal.com" eingegeben. Das hatte bestens funktioniert.
Nun habe ich das Problem, dass da anscheinen eine Zeichen-Grenze vorhanden ist und ich kann keine weiteren Ausnahmen hinzufügen (bis jetzt sind's ca.30).
Wie kann ich das Ganze auf einem anderen Weg bewerkstelligen...?? Über ein Proxy File..? Da hätte ich keine Ahnung..
Vielen Dank für Eure Hilfe
Gruss
JOML
Ich habe folgendes Problem:
Ziel ist es, dass Clients in einer AU nur Zugriff auf gewisse Internet Seiten haben sollen, sonst ist kein Zugriff aufs Internet erlaubt. Intranet soll offen sein.
Standardmässig ist kein Proxy definiert.
Bis anhin hatte ich das über eine GPO "Internet Explorer Wartung-Verbindung-Proxyeinstellungen" sehr gut hinbekommen.
Hatte einfach den Proxy auf 127.0.0.1 eingestellt und in den Ausnahmen die einzelnen Adressen wie z.B "*mir_ist_egal.com" eingegeben. Das hatte bestens funktioniert.
Nun habe ich das Problem, dass da anscheinen eine Zeichen-Grenze vorhanden ist und ich kann keine weiteren Ausnahmen hinzufügen (bis jetzt sind's ca.30).
Wie kann ich das Ganze auf einem anderen Weg bewerkstelligen...?? Über ein Proxy File..? Da hätte ich keine Ahnung..
Vielen Dank für Eure Hilfe
Gruss
JOML
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 81065
Url: https://administrator.de/contentid/81065
Printed on: April 20, 2024 at 01:04 o'clock
11 Comments
Latest comment
Das diese GPO Einstellung nicht für diese Dinge gedacht ist, weißt du sicher 
Ich würde versuchen (wenn kein zentraler Proxy vorhanden ist) das über das hosts-File oder einen DNS-Server zu lösen. So kannst du zb. den betroffenen Rechnern einen speziellen DNS-Server mitgeben auf dem du die Domänen per Hand anlegst und auf eine lokale Intranet-site Umleitest.
Soll es für alle Aktiv sein, könntest du zb. auf dem DNS-Server einfach die betroffenen Domänen anlegen und auf irgend einen Server umleiten, für alle anderen Domänen eine Weiterleitung auf den richtigen DNS-Server (zb. Router) eintragen und diesen per DHCP an die Clients übergeben.
Erstelle zb. die Zone administrator.de auf deinem DNS-Server und niemand der diesen als DNS-Server verwendet wird die Website mehr über DNS auflösen können.
Sauberer währe natürlich ein zentrales gateway mit Filterlisten oder ein Proxyserver (zb. SquidNT).
Ich würde versuchen (wenn kein zentraler Proxy vorhanden ist) das über das hosts-File oder einen DNS-Server zu lösen. So kannst du zb. den betroffenen Rechnern einen speziellen DNS-Server mitgeben auf dem du die Domänen per Hand anlegst und auf eine lokale Intranet-site Umleitest.
Soll es für alle Aktiv sein, könntest du zb. auf dem DNS-Server einfach die betroffenen Domänen anlegen und auf irgend einen Server umleiten, für alle anderen Domänen eine Weiterleitung auf den richtigen DNS-Server (zb. Router) eintragen und diesen per DHCP an die Clients übergeben.
Erstelle zb. die Zone administrator.de auf deinem DNS-Server und niemand der diesen als DNS-Server verwendet wird die Website mehr über DNS auflösen können.
Sauberer währe natürlich ein zentrales gateway mit Filterlisten oder ein Proxyserver (zb. SquidNT).
Ja.. hatte aber bestens funktioniert 
.
Das ganze soll ja nur für gewisse Clients in einer OU gültig sein.. darum sehe ich das nicht so ganz betreffend DNS etc.
Wie würde es den mit dem Host File funktionieren...oder gibts noch eine zusätzliche einfache, aber effektive Lösung..??
Gruss
JOML
.Das ganze soll ja nur für gewisse Clients in einer OU gültig sein.. darum sehe ich das nicht so ganz betreffend DNS etc.
Wie würde es den mit dem Host File funktionieren...oder gibts noch eine zusätzliche einfache, aber effektive Lösung..??
Gruss
JOML
Ok, alles klar. Ich kann mir denken was da los ist
Wenn du einen bestimmten Hostnamen (FQ) in der c:\windows\system32\drivers\etc\hosts datei einträgst und aus 127.0.0.1 oder was auch immer umleitest ist es dem betreffendem PC nicht mehr möglich eine DNS-Anfrage dieses Hosts durchzuführen. Eine (etwas) kompliziertere und nicht ganz sichere Methode ist es in der Windows-Firewall die zu dem DNS-Eintrag gehörenden IP-Adresse(n) zu sperren. Die letzte Methode ist das routing. So kannst du eine route auf die Ziel-IP einfach ins nichts umleiten. Achte aber darauf das du eine permanente route einträgst (route add /p). Zuletzt (wenn unterstützt) kannst du an deinem DSL-Router eine Firewall oder NAT-Regel für die betreffende IP eintragen.
Die ganzen Methoden sind nicht ganz sauber (da es sich um absichtliche fehlkonfigurationen handelt), wenn möglich, versuche das bitte über einen richtigen proxy (squidNT). Es sollte aber funktionieren.
Ich habe das selbst noch nicht probiert, aber es gibt im IE auch noch sperrlisten (wie gesagt, ich bevorzuge Proxyserver). Eventuell hilft dir das auch weiter.
Wenn du einen bestimmten Hostnamen (FQ) in der c:\windows\system32\drivers\etc\hosts datei einträgst und aus 127.0.0.1 oder was auch immer umleitest ist es dem betreffendem PC nicht mehr möglich eine DNS-Anfrage dieses Hosts durchzuführen. Eine (etwas) kompliziertere und nicht ganz sichere Methode ist es in der Windows-Firewall die zu dem DNS-Eintrag gehörenden IP-Adresse(n) zu sperren. Die letzte Methode ist das routing. So kannst du eine route auf die Ziel-IP einfach ins nichts umleiten. Achte aber darauf das du eine permanente route einträgst (route add /p). Zuletzt (wenn unterstützt) kannst du an deinem DSL-Router eine Firewall oder NAT-Regel für die betreffende IP eintragen.
Die ganzen Methoden sind nicht ganz sauber (da es sich um absichtliche fehlkonfigurationen handelt), wenn möglich, versuche das bitte über einen richtigen proxy (squidNT). Es sollte aber funktionieren.
Ich habe das selbst noch nicht probiert, aber es gibt im IE auch noch sperrlisten (wie gesagt, ich bevorzuge Proxyserver). Eventuell hilft dir das auch weiter.
Wie schon geschrieben.. es sollte nur das Internet gesperrt/restricted werden. Nicht der ganze Zugriff aufs Netzwerk.
Es muss doch sicherlich eine Möglichkeit geben, sollche Settings per GPO zu verteilen.
Die Vorgaben sind doch relativ klar:
- Kein Internet ausser die zugelassenen Seiten
- Intranet und sonstigen LAN Zugriff offen.
Also genau das ,was die Funktion "Internet Explorer Wartung-Verbindung-Proxyeinstellungen" macht !
Das Problem ist ja, das da anscheinen eine Zeichen Limite herrscht und ich nun einen anderen Weg suche (dies aber auch per GPO möglich) sollche Settings zu verteilen.
Gruss
JOML
Es muss doch sicherlich eine Möglichkeit geben, sollche Settings per GPO zu verteilen.
Die Vorgaben sind doch relativ klar:
- Kein Internet ausser die zugelassenen Seiten
- Intranet und sonstigen LAN Zugriff offen.
Also genau das ,was die Funktion "Internet Explorer Wartung-Verbindung-Proxyeinstellungen" macht !
Das Problem ist ja, das da anscheinen eine Zeichen Limite herrscht und ich nun einen anderen Weg suche (dies aber auch per GPO möglich) sollche Settings zu verteilen.
Gruss
JOML
Diese Funktion ist leider alles andere als ein Inhaltsfilter für das Internet. Du kannst (um die begrenzung zu umgehen) bestenfalls noch eine proxy.pac schreiben und die Autokonfiguration auf dem Client aktivieren. dort gibt es keine Begrenzung der maximalen Einträge.Du musst eben für alle unerwünschten Domains 127.0.0.1 als proxyserver zurückliefern. Wie man die schreibt ist bei wikipedia gut beschrieben. Alternativ schau dir einmal die Inhaltsfilter des IE an. Evt. kannst du damit etwas basteln.
Nur bitte sei gewarnt, wenn du die Auflösung der DNS-Namen nicht grundlegend verhinderst oder an einem Proxyserver filter einsetzt wird es immer mehr oder weniger einfach möglich sein deine sperren zu umgehen. Als ich proxysettings per GPO auf Rechner geschickt habe sind die User eben mit einem Firefox vom USB-Stick auf die gesperrten Seiten. Meistens recht auch ein nslookup www.gesperrtedomain.de und die Eingabe der IP im Browser um die proxyeinstellungen auszutricksen.
Nur bitte sei gewarnt, wenn du die Auflösung der DNS-Namen nicht grundlegend verhinderst oder an einem Proxyserver filter einsetzt wird es immer mehr oder weniger einfach möglich sein deine sperren zu umgehen. Als ich proxysettings per GPO auf Rechner geschickt habe sind die User eben mit einem Firefox vom USB-Stick auf die gesperrten Seiten. Meistens recht auch ein nslookup www.gesperrtedomain.de und die Eingabe der IP im Browser um die proxyeinstellungen auszutricksen.
Hallo datasearch,
Als erstes mal vielen Dank für Deine Hilfe..
Betreffend proxy.pac:
- Um diese Datei bereitzustellen brauche ich doch einen Webserver..? Es reicht nicht, wenn diese Datei auf einem Share liegt..?
- Das Problem ist, dass ich nicht gewisse Seiten sperren will sondern dass alle internet Seiten ausser vordefinierter Seiten wie z.B "example1.com"; "egal.de" etc. gesperrt sind.
Dies ist nur in einer gewissen Admin Unit im AD so (darum per GPO).... standard ist das Internet mehr oder weniger offen..
Firefox etc. von einem USB Stick oder HD etc ist kein Thema, dies wird verhindert.
Wenn es jemand mutwillig versucht diese POL zu umgehen, hat dieser User danach so oder so ganz andere Probleme..
Gruss
JOML
Als erstes mal vielen Dank für Deine Hilfe..
Betreffend proxy.pac:
- Um diese Datei bereitzustellen brauche ich doch einen Webserver..? Es reicht nicht, wenn diese Datei auf einem Share liegt..?
- Das Problem ist, dass ich nicht gewisse Seiten sperren will sondern dass alle internet Seiten ausser vordefinierter Seiten wie z.B "example1.com"; "egal.de" etc. gesperrt sind.
Dies ist nur in einer gewissen Admin Unit im AD so (darum per GPO).... standard ist das Internet mehr oder weniger offen..
Firefox etc. von einem USB Stick oder HD etc ist kein Thema, dies wird verhindert.
Wenn es jemand mutwillig versucht diese POL zu umgehen, hat dieser User danach so oder so ganz andere Probleme..
Gruss
JOML
OK, du nimmst also die erlauten domains in die ausnahmeliste der Proxykonfig. Solange es funktioniert keine üble Methode um ein paar Seiten freizuschalten.
Anderer Vorschlag:
Schau dir doch einmal SquidNT an. Auch wenn die config auf den ersten Blick "etwas" wuchtig ausschaut ist er (bei dem was du vorhast) relativ schnell konfiguriert. In kleinen domänen nutze ich diesen Dienst als lokalen Proxyserver um genau das zu erreichen. Du müsstest dann nur per GPO einen "richtigen" Proxyserver konfigurieren und der rest läuft über die ACL vom Proxyserver. so könntest du zb. eine ACL mit einer whitelist anlegen und den Proxyserver für alle in der OU erzwingen. Die Admin-OU bekommt den Proxy nicht und hat somit vollen Zugriff auf das Netz.
Falls du SquidNT verwenden möchtest, würde ich dir gern bei der Konfiguration helfen.
Anderer Vorschlag:
Schau dir doch einmal SquidNT an. Auch wenn die config auf den ersten Blick "etwas" wuchtig ausschaut ist er (bei dem was du vorhast) relativ schnell konfiguriert. In kleinen domänen nutze ich diesen Dienst als lokalen Proxyserver um genau das zu erreichen. Du müsstest dann nur per GPO einen "richtigen" Proxyserver konfigurieren und der rest läuft über die ACL vom Proxyserver. so könntest du zb. eine ACL mit einer whitelist anlegen und den Proxyserver für alle in der OU erzwingen. Die Admin-OU bekommt den Proxy nicht und hat somit vollen Zugriff auf das Netz.
Falls du SquidNT verwenden möchtest, würde ich dir gern bei der Konfiguration helfen.
Du sagst es... es funktionierte bestens bis ich eben bemerkte, dass da leider eine Begrenzung an Zeichen eingebaut ist .
SquidNT ist leider keine Option (zusätzlicher Dienst etc.). Das ganze muss doch irgendwie mit MS XP, IE 6x und GPO's eigenen Mitteln möglich sein...
Hast Du per Zufall Erfahrung mit dem Proxy.pac in Verbindung mit IIS (Konfiguration des IIS für das proxy.pac) etc..?
Gruss
JOML
.SquidNT ist leider keine Option (zusätzlicher Dienst etc.). Das ganze muss doch irgendwie mit MS XP, IE 6x und GPO's eigenen Mitteln möglich sein...
Hast Du per Zufall Erfahrung mit dem Proxy.pac in Verbindung mit IIS (Konfiguration des IIS für das proxy.pac) etc..?
Gruss
JOML
Die proxy.pac ist nichts weiter als ein javascript das beim aufruf der funktion mit der URL als parameter den proxyserver für diese zurückgibt. Du brauchst einen webserver (IIS) und musst "nur" den MIME-Type application/x-ns-proxy-autoconfig unter dem Reiter "Dateitypen" in den eigenschaften der Site anlegen und auf .pac (oder wpad)setzen. Anschließend noch den DiscoveryEintrag im DNS anlegen und den Client auf Autodetection stellen.
Schau mal hier:
http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol#Requireme ...
Hmm, ansonsten, in der pac-file selbst musst du nur den default-proxy auf irgendwas setzen und für alle zugelassenen domains einen bypass setzen.
Schau mal hier:
http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol#Requireme ...
Hmm, ansonsten, in der pac-file selbst musst du nur den default-proxy auf irgendwas setzen und für alle zugelassenen domains einen bypass setzen.
Mhmm... einen IIS hätte ich zur Verfügung.
Das heisst also im IIS eine neue Webseite erstellen, die aufs proxy.pac verweist.. oder so ähnlich..?
Sorry.. aber habe leider wirklich noch nie mit proxy etc zu tun (aber man lernt ja immer dazu.
Wenns auf dem DNS Server sein sollte sehe ich da ein wenig schwarz... hab da keine Möglichkeiten.
Vor allem.. es betrifft ja "nur" ein paar Clients... nicht alle..?
Gruss
JOML
Das heisst also im IIS eine neue Webseite erstellen, die aufs proxy.pac verweist.. oder so ähnlich..?
Sorry.. aber habe leider wirklich noch nie mit proxy etc zu tun (aber man lernt ja immer dazu
.Anschließend noch den DiscoveryEintrag im DNS anlegen
Direkt auf dem DNS Server oder auf den Clients, die betroffen sind..?Wenns auf dem DNS Server sein sollte sehe ich da ein wenig schwarz... hab da keine Möglichkeiten.
Vor allem.. es betrifft ja "nur" ein paar Clients... nicht alle..?
Gruss
JOML
Nein, das ist ungünstig. Das du keinen zugriff auf das DNS hast oder die Firmenrichtlinien dir das verbieten würde auch diese Methode der Proxykonfig unmöglich machen. Schade eigentlich.
Was den IIS angeht müsstest du einfach eine datei mit dem Namen proxy.pac oder wpad.dat in der hauptebene des Webservers ablegen. Die muss unter http://server.xyz/proxy.pac erreichbar sein. Der DNS-Eintrag währe dann ein Alias auf den Webserver zb.
Das ganze funktioniert so:
- Der Browser versucht den DNS-Namen wpad.EIGENEDOMAIN.XYZ aufzulösen
- Ist der Lookup erfolgreich, sucht er auf dem zurückgegebenem Host nach der Datei proxy.pac oder wpad.dat.
- Findet er diese, wird das Script mit der Zieldomain als Parameter aufgerufen.
- Der Proxy der von dieser Funktion zurückgegeben wird, wird für die Website verwendet.
Was den IIS angeht müsstest du einfach eine datei mit dem Namen proxy.pac oder wpad.dat in der hauptebene des Webservers ablegen. Die muss unter http://server.xyz/proxy.pac erreichbar sein. Der DNS-Eintrag währe dann ein Alias auf den Webserver zb.
WPAD CNAME server.xyz mit dem namen WPAD anzulegen.Das ganze funktioniert so:
- Der Browser versucht den DNS-Namen wpad.EIGENEDOMAIN.XYZ aufzulösen
- Ist der Lookup erfolgreich, sucht er auf dem zurückgegebenem Host nach der Datei proxy.pac oder wpad.dat.
- Findet er diese, wird das Script mit der Zieldomain als Parameter aufgerufen.
- Der Proxy der von dieser Funktion zurückgegeben wird, wird für die Website verwendet.
