Bestimmte Webseiten sperren
Suche eine Möglichkeit für bestimmte User einige Webseiten zu sperren
Hallo,
nachdem ich mich durchs Forum gewühlt habe und leider noch kein befriedigendes Ergebnis gefunden habe, hier eine Anfrage an die Netzwerk- und Internetspezis unter euch :
Ich möchte bestimmten Usern im Firmennetzwerk den Zugriff auf bestimmte Webseiten untersagen.
Konkret geht es um facebook, etc. , einige Mitarbeiter übertreiben es mit den Freiheiten, die hier eingeräumt werden, und somit möchte der Chef jetzt für alle Mitarbeiter, die nicht unmittelbar an Facebook-, Xing- etc. Seiten für die Firma arbeiten, den Zugriff verbieten.
Proxy Server geht nicht, da hier einige Applikationen laufen, die immer wieder erhebliche Probleme mit Proxys haben. Wir haben zwar seit vielen Jahren einen Squid im Einsatz, und der macht seine Sache auch gut, aber die Anforderungen haben sich in diesem Bereich geändert, und deshalb wird er demnächst ausgemustert.
Die üblichen verbotenen Seite habe ich über den DNS - Server des Firmennetzes umgeleitet, so dass bei Aufruf von Porno Seiten etc. immer eine Hinweis Seite erscheint, dass diese Seite verboten ist. Das funktioniert auch ganz gut, gilt aber eben generell für alle Client Maschinen und User.
Zusätzlich habe ich auch die etc/hosts editiert, auch hier das gleiche Spiel, gilt immer für alle User des jeweiligen rechners.
Zuerst hatte ich vor im Logon Script die hosts Datei für den jeweiligen User zu kopieren, jeder User hätte dann eine individuelle hosts Datei, so wie jetzt bereits eine individuelle Logon-Batch, aber das funktionierte nur, wenn der User Admin Rechte auf der hosts Datei hat.
Da einige Spezies hier genug Ahnung von EDV haben, sind diese Rechte aber eingeschränkt, also suche ich nach einer Lösung, die vielleicht schon beim Rechnerstart über Gruppenrichtlinien eine hosts Datei vom Server holt, und diese auf den Clients dann jedesmal aktualisiert. Leider bin ich bei den Gruppenrichtlinien nicht so fit, dass ich da was hinbekommen habe.
Der Weg über die URL Filter des Routers geht nur bei den generell gesperrten Seiten, setzten wir bereits ein.
Also : wie kann ich für bestimmte User genau definierte Webseiten sperren und möglichst einfach diese Einstellungen verwalten.
Wir haben hier ein Netzwerk mit derzei drei W2003Std Servern, alle 22 User sind im AD, wechseln aber ständig die Arbeitsplätze und sind nicht an einen festen Platz gebunden. Jeder User hat ein individuelles Logon Script, welches die notwendigen Shares anbindet und einige Umgebungsvariablen setzt. Wir werden demnächst das ganze Netzwerk auf W2008STD umstellen, und dabei kräftig aufräumen, wenn es also Lösungen f. W2008 gibt, - jede Idee ist willkommen.
Vielen Dank schon mal im voraus !
Hallo,
nachdem ich mich durchs Forum gewühlt habe und leider noch kein befriedigendes Ergebnis gefunden habe, hier eine Anfrage an die Netzwerk- und Internetspezis unter euch :
Ich möchte bestimmten Usern im Firmennetzwerk den Zugriff auf bestimmte Webseiten untersagen.
Konkret geht es um facebook, etc. , einige Mitarbeiter übertreiben es mit den Freiheiten, die hier eingeräumt werden, und somit möchte der Chef jetzt für alle Mitarbeiter, die nicht unmittelbar an Facebook-, Xing- etc. Seiten für die Firma arbeiten, den Zugriff verbieten.
Proxy Server geht nicht, da hier einige Applikationen laufen, die immer wieder erhebliche Probleme mit Proxys haben. Wir haben zwar seit vielen Jahren einen Squid im Einsatz, und der macht seine Sache auch gut, aber die Anforderungen haben sich in diesem Bereich geändert, und deshalb wird er demnächst ausgemustert.
Die üblichen verbotenen Seite habe ich über den DNS - Server des Firmennetzes umgeleitet, so dass bei Aufruf von Porno Seiten etc. immer eine Hinweis Seite erscheint, dass diese Seite verboten ist. Das funktioniert auch ganz gut, gilt aber eben generell für alle Client Maschinen und User.
Zusätzlich habe ich auch die etc/hosts editiert, auch hier das gleiche Spiel, gilt immer für alle User des jeweiligen rechners.
Zuerst hatte ich vor im Logon Script die hosts Datei für den jeweiligen User zu kopieren, jeder User hätte dann eine individuelle hosts Datei, so wie jetzt bereits eine individuelle Logon-Batch, aber das funktionierte nur, wenn der User Admin Rechte auf der hosts Datei hat.
Da einige Spezies hier genug Ahnung von EDV haben, sind diese Rechte aber eingeschränkt, also suche ich nach einer Lösung, die vielleicht schon beim Rechnerstart über Gruppenrichtlinien eine hosts Datei vom Server holt, und diese auf den Clients dann jedesmal aktualisiert. Leider bin ich bei den Gruppenrichtlinien nicht so fit, dass ich da was hinbekommen habe.
Der Weg über die URL Filter des Routers geht nur bei den generell gesperrten Seiten, setzten wir bereits ein.
Also : wie kann ich für bestimmte User genau definierte Webseiten sperren und möglichst einfach diese Einstellungen verwalten.
Wir haben hier ein Netzwerk mit derzei drei W2003Std Servern, alle 22 User sind im AD, wechseln aber ständig die Arbeitsplätze und sind nicht an einen festen Platz gebunden. Jeder User hat ein individuelles Logon Script, welches die notwendigen Shares anbindet und einige Umgebungsvariablen setzt. Wir werden demnächst das ganze Netzwerk auf W2008STD umstellen, und dabei kräftig aufräumen, wenn es also Lösungen f. W2008 gibt, - jede Idee ist willkommen.
Vielen Dank schon mal im voraus !
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172166
Url: https://administrator.de/contentid/172166
Ausgedruckt am: 05.11.2024 um 04:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
wenn ihr Squid und Co bereits im Einsatz habt und es damit nicht geht (da gibt es hier sicher Leute die sich damit besser auskennen als ich), kann ich dir z.b. Geräte vorschlagen von Barracuda Networks oder mit einer Astaro.
Dort kannst du userabhängige Richtlinien setzen. Die Nutzer werden aus dem AD ausgelesen und dann spielt es keine Rolle wo derjenige sitzt, sofern er mit seinem Username angemeldet ist.
Die Geräte kosten natürlich ne Menge Kohle, aber funktionieren.
Bei beiden genannten kannst du dir Livedemos online ansehen.
VG
wenn ihr Squid und Co bereits im Einsatz habt und es damit nicht geht (da gibt es hier sicher Leute die sich damit besser auskennen als ich), kann ich dir z.b. Geräte vorschlagen von Barracuda Networks oder mit einer Astaro.
Dort kannst du userabhängige Richtlinien setzen. Die Nutzer werden aus dem AD ausgelesen und dann spielt es keine Rolle wo derjenige sitzt, sofern er mit seinem Username angemeldet ist.
Die Geräte kosten natürlich ne Menge Kohle, aber funktionieren.
Bei beiden genannten kannst du dir Livedemos online ansehen.
VG
Zitat von @hermes:
Hallo,
Astaro habe ich schon mal gehört, da werde ich mal nachlesen und sehen ob Aufwand und Nutzen akzeptabel sind
Danke für den Hinweis
Hallo,
Astaro habe ich schon mal gehört, da werde ich mal nachlesen und sehen ob Aufwand und Nutzen akzeptabel sind
Danke für den Hinweis
Hi,
viel interessanter ist hier der Preis.
VG
Hi
Also warum traust du dich nicht an sachen wie IPfire IPcop Endian Astaro etc ran. Du bist doch Admin oder ????
Iso runterladen nen alten Rechner nehmen ausprobieren....
Man lernt in der IT in meinen Augen nur wenn man was ausprobiert.... Theorie hin Theorie her .....
Alternativ kannst du noch die Gatewaylösung von MS nutzen ISA 2006 bei 2003 und bei 2008 / r2 dan TMG / Forefront ....
kostet natürlich auch ein wenig Geld ...
Die oben genannten sind bis auf Astaro kostenlos.
Weitere Frage ist, sind die Applications nur auf den Servern installiert ??? oder generell auf allen Rechnern die so Probleme mit dem Proxy haben ????
Bzw. man kann den Squid auch transparent laufen lassen, was heißt, das du keinen Proxy Port angeben musst und der Traffic trotzdem gefltert wird.
MFG Nemesis
Also warum traust du dich nicht an sachen wie IPfire IPcop Endian Astaro etc ran. Du bist doch Admin oder ????
Iso runterladen nen alten Rechner nehmen ausprobieren....
Man lernt in der IT in meinen Augen nur wenn man was ausprobiert.... Theorie hin Theorie her .....
Alternativ kannst du noch die Gatewaylösung von MS nutzen ISA 2006 bei 2003 und bei 2008 / r2 dan TMG / Forefront ....
kostet natürlich auch ein wenig Geld ...
Die oben genannten sind bis auf Astaro kostenlos.
Weitere Frage ist, sind die Applications nur auf den Servern installiert ??? oder generell auf allen Rechnern die so Probleme mit dem Proxy haben ????
Bzw. man kann den Squid auch transparent laufen lassen, was heißt, das du keinen Proxy Port angeben musst und der Traffic trotzdem gefltert wird.
MFG Nemesis
Du kannst ja auch mit PFSENSE sagen das der das Internet über den Speedport leiten soll so das du in Ruhe dich mit der Software Version anfreunden kannst ohne das Laufende System zu stören.
Später änders du die IP vom Softwarerouter und Speedport und leitest den ganzen Inet über den Softwarerouter...
Sollte da was nicht laufen kannste schnell die IPs ändern und den alten Zustand wiederherstellen ohne großen aufwand....
Später änders du die IP vom Softwarerouter und Speedport und leitest den ganzen Inet über den Softwarerouter...
Sollte da was nicht laufen kannste schnell die IPs ändern und den alten Zustand wiederherstellen ohne großen aufwand....
Die problematischen Applikation sind Online Auktionen für KFZ. Die Jungs dieser Webseiten sind einfach nicht in der Lage so
etwas anständig zu programmieren. Zeitweise mussten wir auf einigen der betroffenen Rechnern sogar Admin Rechte für die
Zeit der Auktionen freischalten, damit die Webseiten komplett liefen...
etwas anständig zu programmieren. Zeitweise mussten wir auf einigen der betroffenen Rechnern sogar Admin Rechte für die
Zeit der Auktionen freischalten, damit die Webseiten komplett liefen...
Was sind das für Seiten die Adminrechte brauchen? Wofür brauchen die diese Adminrechte?
Warum wieder mit Tefchnik rumeiern, bevor man das einfach organisatorisch löst:
Das bringt den leuten auch ins Bewußtsein, daß sie arbeiten sollen statt "facebooken".
- Jedem Mitarbeiter einen Schrieb unter die Nase halten, daß er auf facebook (und anderen webseiten) nichts zu suchen hat, und unterschreiben lassen.
- Bei Verstoß Abmahnung androhen
- Mitteilen daß die Zugriffe auf facebook protokolliert werden und gut is'.
Das bringt den leuten auch ins Bewußtsein, daß sie arbeiten sollen statt "facebooken".
Da die anderen Informationen ja nicht vorlagen, habe ich meine Kristallkugel gefragt und die sagte. Die leute dürfen üebrhaupt nicht auf facebook u.a., weil sie eher arbeioten sollen.
Natürlich ist es schwierig, wenn sie nur ein bischen dürfen sollen, Dann ist es netürlich schwierig, Konsequenzen druchzuziehen.
Man könnte aber stattdessen das über die soziale Kontrolle in den Griff zu bekommen.
"TOP 10/100" der facebooker", die mehr als 15 Minuten pro Tag auf facebook sind, obwohl sie dort nichts zu suchen haben. oder so intern veröffentlichen. Und diejenigen, die mehr als 5 mal im Monat in dieser Liste auftauchen -> abmahnen.
lks
PS: Ich weiß, daß in einer Umgebung, in der man viele Freiheiten genießt, viel lieber arbeitet. Allerdings muß man sich diese Freiheiten auch verdienen. Daher sollte man das den betreffenden Mitarbeitern klarmachen.