genius2222
Goto Top

AD User Internet Sperren ohne ISA

Hallo
Ich möchte einigen AD Usern das internet Sperren ohne das ich den Teuren ISA Server benutze.
Die Serrung soll Tag und Uhrzeitabhänig sein.

Währe froh über ein par Tipps zu Programmen.

MFG Michael Becker

Content-ID: 110843

Url: https://administrator.de/forum/ad-user-internet-sperren-ohne-isa-110843.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

bGn
bGn 08.03.2009 um 18:11:01 Uhr
Goto Top
würde mich auch interessieren

mfg

Patrick
DerWoWusste
DerWoWusste 08.03.2009, aktualisiert am 18.10.2012 um 18:37:50 Uhr
Goto Top
Schau hier: Windows Server 2003 Benutzer oder Gruppen vom Internet aussperren
Die netsh-Lösung kannst Du natürlich auch als geplanter Task nutzen, somit ist eine Bindung an Uhrzeit und Tag möglich. Ebenso kann ein geplanter Task problemlos mit hohen Rechten laufen. Selbst das Deployment von geplanten Tasks ist möglich.
Genius2222
Genius2222 08.03.2009 um 19:35:47 Uhr
Goto Top
Das mit den netsh ist net aber nicht machbar bei mir .ich brauch eine bessere lösung wie beim ISA nur nicht so teuer.
Dani
Dani 08.03.2009 um 19:40:12 Uhr
Goto Top
Hi,
es gibt in der Art keinen Kopie von ISA...das ist einfach Fakt. Da wirst du wohl in den sauren Apfel beißen müssen. Ah...außer du löst das unter Debian + Squid - dann ist es kostenlos. Allerdings wird die Konfiguration nicht easy-going....


Grüße,
Dani
DerWoWusste
DerWoWusste 08.03.2009 um 20:17:25 Uhr
Goto Top
Darf ich erfahren, warum netsh nicht bei Dir geht?
Genius2222
Genius2222 08.03.2009 um 21:37:38 Uhr
Goto Top
Gehen würde es bestimmt abe blicke da nicht durch.
Ich brauche was was man(n) klicken kann, weil ich mich paralle dazu noch in Exchang einarbeiten muss
DerWoWusste
DerWoWusste 08.03.2009 um 22:43:44 Uhr
Goto Top
Traust Du Dir zu, Dich 20 Minuten mit netsh auseinanderzusetzen? Ganz einfach: Du stellst am Testrechner eine Konfiguration des Gatewayeintrages wie gewünscht ein und dumpst diese Konfig in eine Textdatei "KeinInternet.txt", danach nochmal mit der funktionierenden Konfiguration nach "Internet.txt". Diese beiden Konfigs kann der geplante Task dann einfach aufrufen.
Beispiel:
netsh -c interface dump > c:\Test\KeinInternet.txt liest aus
netsh -f c:\Test\KeinInternet.txt liest ein
v-m-r-de
v-m-r-de 08.03.2009 um 23:55:38 Uhr
Goto Top
Hallo Michael!

Ich kenn da noch time-for-kids.
Ist eigentlich für Schulen gedacht, aber das kann auch den Internetzugriff auch verwalten.
Das Ding kann als normale oder transparenter Proxy genutzt werden, also auch wie ein Gateway.

Kannst Dich ja mal erkundigen, ob das normale Unternehmen auch einsetzen können.

Gruß,
Volker
StefanKittel
StefanKittel 09.03.2009 um 01:31:34 Uhr
Goto Top
Hallo,

was aber ist wenn das mit dem Gateway aufgrund von z.B. VPN-Verbindungen oder sonstigen Routings innerhalb des Netzwerkes nicht funktioniert?

Stefan
DerWoWusste
DerWoWusste 09.03.2009 um 08:12:30 Uhr
Goto Top
Moin! Das Bedenken hatte ich in meinem verlinkten Beitrag selbst geäußert face-smile
66027
66027 09.03.2009 um 09:40:54 Uhr
Goto Top
Die schönste, einfachste und vor allem kostengünstigste Lösung wird wohl eine Linux Kiste sein mit Squid (LDAP Anbindung) und Shorewall, von Softwarelösungen auf den Clients würde ich abraten. So eine Linux-Firewall ist innerhalb von 2 Stunden aufgesetzt, konfiguriert und am Laufen.
plaaner
plaaner 09.03.2009 um 13:19:53 Uhr
Goto Top
Zitat von @66027:
Die schönste, einfachste und vor allem kostengünstigste
Lösung wird wohl eine Linux Kiste sein mit Squid (LDAP Anbindung)
und Shorewall, von Softwarelösungen auf den Clients würde
ich abraten. So eine Linux-Firewall ist innerhalb von 2 Stunden
aufgesetzt, konfiguriert und am Laufen.

ich würde im Zusammenhang auch ipcop empfehlen.
v-m-r-de
v-m-r-de 09.03.2009 um 13:37:46 Uhr
Goto Top
Kann IPCop das auch in Abhängigkeit von AD Usern und Gruppen?
66027
66027 09.03.2009 um 13:55:36 Uhr
Goto Top
IPCop kenne ich jetzt nicht näher, ich mache das lieber selbst mit Debian, und via LDAP Abfragen Benutzer und Gruppen abzufragen bzw. zu synchronisieren sollte ja nicht das Problem sein.

auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=domaine,dc=local" -f sAMAccountName=%s -h 192.168.*.* -D "CN=squid,CN=Users,DC=domaine,DC=local" -w "squid"

Würde mich aber der Einfachheit plaaner anschließen, wenn IPCop schon von vorne herein all diese Funktionen beherrscht. ^^

Ansonsten im Ubuntu Forum schnell die Anleitung lesen und das selbst basteln, sind sowieso nur 8 Befehle auf der Kommandozeile und ein paar Edits in der Shorewall Rules und Policy, sowie Squid Konfigurationsdatei. Danach die beiden Dienste neu starten und fertig.
rzlbrnft
rzlbrnft 10.03.2009 um 14:41:33 Uhr
Goto Top
Wenn du nur Internet Explorer nutzt kannst du den Inhaltsratgeber nutzen.
Die Einstellungen dafür kannst du per GPO verteilen.
Wenn du das Standard Filtersystem entfernst und den Zugriff auf ungefilterte Websites sperrst kann der Benutzer keine Webseiten mehr aufrufen.


Geht aber leider nur beim Internet Explorer.
41644
41644 10.03.2009 um 18:57:00 Uhr
Goto Top
Hallo,

Ich würde dir IP-COP empfehlen.
Ausgereift, leicht zu installieren und unheimlich flexibel.

Grüsse
Peter
keksprinz
keksprinz 11.03.2009 um 13:18:49 Uhr
Goto Top
Hallo,

nur mal ne kurze Idee, wenn du über einen Proxy raus gehst kannst du in den in den IE Richtlinen
doch einfach einen falschen eintragen bei den Usern die nicht ins I-Net sollen und den richtigen
die eine Surferlaubnis haben.

Es geht aber nix über einen ISA.

Gruß
Genius2222
Genius2222 15.03.2009 um 08:31:37 Uhr
Goto Top
Zitat von @66027:
IPCop kenne ich jetzt nicht näher, ich mache das lieber selbst
mit Debian, und via LDAP Abfragen Benutzer und Gruppen abzufragen bzw.
zu synchronisieren sollte ja nicht das Problem sein.

auth_param basic program /usr/lib/squid/ldap_auth -R -b
"dc=domaine,dc=local" -f sAMAccountName=%s -h
192.168.*.* -D "CN=squid,CN=Users,DC=domaine,DC=local"
-w "squid"

Würde mich aber der Einfachheit plaaner anschließen, wenn
IPCop schon von vorne herein all diese Funktionen beherrscht. ^^

Ansonsten im Ubuntu Forum schnell die Anleitung lesen und das selbst
basteln, sind sowieso nur 8 Befehle auf der Kommandozeile und ein paar
Edits in der Shorewall Rules und Policy, sowie Squid
Konfigurationsdatei. Danach die beiden Dienste neu starten und fertig.

So habe mich jetzt für den Ubuntu Server mit LADP endschieden.
Brauch aber sehr viel Hilfe.
Könnte mir bitte jemant erkren wie ich das machen mus mit dem LADP und dann dir Internet Sperrung von einzelen usern?