18
GPO - alle Netzwerkzugriffe für einen Domainuser deaktivieren
Hello
Ich suche eine Möglichkeit (GPO?) einem Domänenbenutzer jeglichen Netzwerkzugriff zu verbieten, egal wo er sich anmeldet. Wenn sich ein anderer anmeldet soll er ihn natürlich haben.
Das was ganz locker geht ist das deaktivieren aller Netzwerkadapter.
Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Geräte -> Netzwerk töten
Nur sie werden beim Abmelden dieses Users nicht wieder aktiviert, sie bleiben tot. Wie kann ich das ändern?
Achja: Client (noch) Windows 10 und der Server ist ein ...... Samba 4
Ich suche eine Möglichkeit (GPO?) einem Domänenbenutzer jeglichen Netzwerkzugriff zu verbieten, egal wo er sich anmeldet. Wenn sich ein anderer anmeldet soll er ihn natürlich haben.
Das was ganz locker geht ist das deaktivieren aller Netzwerkadapter.
Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Geräte -> Netzwerk töten
Nur sie werden beim Abmelden dieses Users nicht wieder aktiviert, sie bleiben tot. Wie kann ich das ändern?
Achja: Client (noch) Windows 10 und der Server ist ein ...... Samba 4
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6452944533
Url: https://administrator.de/contentid/6452944533
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
18 Kommentare
Neuester Kommentar
Moin,
falls ihr ESET als AV Lösung einsetzt, kann man die Client Isolation einschalten, wenn User X angemeldet ist.
Dann darf der Client nur noch mit der ESET Management Console sprechen.
VG
falls ihr ESET als AV Lösung einsetzt, kann man die Client Isolation einschalten, wenn User X angemeldet ist.
Dann darf der Client nur noch mit der ESET Management Console sprechen.
VG
Haben wir leider nicht. Ich suche eine Lösung mit den "Bordmitteln".
Trotzdem danke
Ich habe mir auch die GPOs mit den Firewallrichtlinien angeschaut, alle nur gerätebasierend ..... 😒
Trotzdem danke
Ich habe mir auch die GPOs mit den Firewallrichtlinien angeschaut, alle nur gerätebasierend ..... 😒
Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?
Bei einer vernünftig konfigurierten AD nebst sinniger Rechtverwaltung nimmt man den User einfach aus allen passenden Gruppen raus, dann darf er auch nix mehr?
Zitat von @surreal1:
Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?
Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?
Macht Sinn, wenn der Client von Viren befallen ist und er isoliert werden muss. Bei einm User sehe ich das auch kritisch.
Zitat von @mayho33:
Macht Sinn, wenn der Client von Viren befallen ist und er isoliert werden muss. Bei einm User sehe ich das auch kritisch.
Zitat von @surreal1:
Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?
Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?
Macht Sinn, wenn der Client von Viren befallen ist und er isoliert werden muss. Bei einm User sehe ich das auch kritisch.
Dann zieht man das Netzwerkkabel.
Guten Morgen
Eben (leider) nicht.
Die ganzen Firewallregeln etc in den GPOs finde ich nur unter den Maschineneinstellungen, nicht unter den Usereinstellungen. Wenn die Anmeldemaske da ist sind die Maschineneinstellungen bereits abgearbeitet und es zieht nur mehr der Rest.
Steht doch eh im ersten Posting: Ein User, der wenn er sich anmeldet nichts kann und darf und wenn sich ein anderer anmeldet, dann soll der wiederum alles können und dürfen. Was ist daran unverständlich? Das "warum"? Firmenvorgabe für eine Anmeldemöglichkeit, wo er eben nicht ins Internet soll und rein ausschließlich mit dem lokalen Programm arbeiten soll.
Ich soll es "nur" umsetzen und scheitere eben daran, daß der nächste der sich anmeldet wiederum alles darf.
Zitat von @erikro:
Dann zieht man das Netzwerkkabel.
Zitat von @mayho33:
Macht Sinn, wenn der Client von Viren befallen ist und er isoliert werden muss. Bei einm User sehe ich das auch kritisch.
Zitat von @surreal1:
Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?
Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?
Macht Sinn, wenn der Client von Viren befallen ist und er isoliert werden muss. Bei einm User sehe ich das auch kritisch.
Dann zieht man das Netzwerkkabel.
Haha! Und am Ende hat der User das VGA-Kabel von der Dockingstation gerissen
🤣
WLAN-Kabel?
🤣
Alufolie um den Laptop und einen Aluhut für den User, ....... mit einem Erdungskabel verbunden?
😂
Zitat von @Franz-Josef-II:
Guten Morgen
Eben (leider) nicht.
Die ganzen Firewallregeln etc in den GPOs finde ich nur unter den Maschineneinstellungen, nicht unter den Usereinstellungen. Wenn die Anmeldemaske da ist sind die Maschineneinstellungen bereits abgearbeitet und es zieht nur mehr der Rest.
Steht doch eh im ersten Posting: Ein User, der wenn er sich anmeldet nichts kann und darf und wenn sich ein anderer anmeldet, dann soll der wiederum alles können und dürfen. Was ist daran unverständlich? Das "warum"? Firmenvorgabe für eine Anmeldemöglichkeit, wo er eben nicht ins Internet soll und rein ausschließlich mit dem lokalen Programm arbeiten soll.
Ich soll es "nur" umsetzen und scheitere eben daran, daß der nächste der sich anmeldet wiederum alles darf.
Guten Morgen
Eben (leider) nicht.
Die ganzen Firewallregeln etc in den GPOs finde ich nur unter den Maschineneinstellungen, nicht unter den Usereinstellungen. Wenn die Anmeldemaske da ist sind die Maschineneinstellungen bereits abgearbeitet und es zieht nur mehr der Rest.
Steht doch eh im ersten Posting: Ein User, der wenn er sich anmeldet nichts kann und darf und wenn sich ein anderer anmeldet, dann soll der wiederum alles können und dürfen. Was ist daran unverständlich? Das "warum"? Firmenvorgabe für eine Anmeldemöglichkeit, wo er eben nicht ins Internet soll und rein ausschließlich mit dem lokalen Programm arbeiten soll.
Ich soll es "nur" umsetzen und scheitere eben daran, daß der nächste der sich anmeldet wiederum alles darf.
Wo hast du geschrieben das der Internet Zugang verboten werden soll, sodass er nur lokal arbeiten darf? Du verwendest das Wort Netzwerkzugriff, hast aber wohl keine Ahnung was die Definition davon ist. Wenn du nicht weißt, wie du sowas umsetzt, solltest du jemand kompetenten kontaktieren, der sich in diesem Bereich auskennt und auch wirklich ein Administrator ist...
Danke für Deine freundlichen Worte.
Ich sagte eindeutig:
Aber Du könntest mir ja erklären, wie man einen Internetzugang OHNE Netzwerk macht. ..... na los, Herr oder Frau Admin.
Ich sagte eindeutig:
.... einem Domänenbenutzer jeglichen Netzwerkzugriff zu verbieten ....
Aber Du könntest mir ja erklären, wie man einen Internetzugang OHNE Netzwerk macht. ..... na los, Herr oder Frau Admin.
Zitat von @Franz-Josef-II:
Danke für Deine freundlichen Worte.
Ich sagte eindeutig:
Aber Du könntest mir ja erklären, wie man einen Internetzugang OHNE Netzwerk macht. ..... na los, Herr oder Frau Admin.
Danke für Deine freundlichen Worte.
Ich sagte eindeutig:
.... einem Domänenbenutzer jeglichen Netzwerkzugriff zu verbieten ....
Aber Du könntest mir ja erklären, wie man einen Internetzugang OHNE Netzwerk macht. ..... na los, Herr oder Frau Admin.
Du hast nicht ansatzweise beschrieben was du genau vor Ort an Hardware/Software verwendest, ansonsten könntest du ja das Problem auf Netzwerkebene lösen.
Setz die Mac vom PC auf die deny List vom DHCP, so bekommst du keine automatische IP und sofern der User keine Ahnung und keine Rechte hat, wird er erstmal wenig mit dem Netzwerk anfangen können.
Ich wiederhole mich sehr ungern, aber lies bitte die Anforderungen:
Wenn ich die MAC vom PC, dann ist der PC draußen und der nächste User ...... EBENFALLS. Also DNS, DHCP, Router und was sonst noch alles da ist ist völlig bluna, weil die Schnittstelle am Gerät .....
und das steht ebenfalls im ersten Posting:
Die Anforderung: mit GPO steht ebenfalls dort.
Also es geht um eine USER-GPO, die alle Netzwerkverbindungen, egal ob LAN mit und ohne "W" davor, egal ob Bluetooth etc für einen User kappt, das schaffe ich sogar, wie beschrieben ganz locker, und für den NÄCHSTEN User wieder aktiviert. Somit kann es keine "Computer GPO" sein, weil die eben vor der Anmeldung abgearbeitet werden und in den User-GPOs finde ich eine derartige Einstellung nicht.
Was (theoretisch) eine Möglichkeit sein könnte ist mit Abmeldescripts arbeiten. Sprich ein Script das beim Abmelden alle Netzwerkadapter aktiviert ..... meldet sich nachher der "kastrierte User" an, werden sie wieder deaktiviert sonst bleibens offen.
Eine GPO wäre mir aber lieber, weil dann das System "einheitlich" bleibt.
Zitat von Franz-Josef-II:
Wenn sich ein anderer anmeldet soll er ihn natürlich haben.
Wenn sich ein anderer anmeldet soll er ihn natürlich haben.
Wenn ich die MAC vom PC, dann ist der PC draußen und der nächste User ...... EBENFALLS. Also DNS, DHCP, Router und was sonst noch alles da ist ist völlig bluna, weil die Schnittstelle am Gerät .....
Zitat von @surreal1
Du hast nicht ansatzweise beschrieben was du genau vor Ort an Hardware/Software verwendest, ......
Du hast nicht ansatzweise beschrieben was du genau vor Ort an Hardware/Software verwendest, ......
und das steht ebenfalls im ersten Posting:
Zitat von Franz-Josef-II:
Client (noch) Windows 10 und der Server ist ein ...... Samba 4
Client (noch) Windows 10 und der Server ist ein ...... Samba 4
Die Anforderung: mit GPO steht ebenfalls dort.
Also es geht um eine USER-GPO, die alle Netzwerkverbindungen, egal ob LAN mit und ohne "W" davor, egal ob Bluetooth etc für einen User kappt, das schaffe ich sogar, wie beschrieben ganz locker, und für den NÄCHSTEN User wieder aktiviert. Somit kann es keine "Computer GPO" sein, weil die eben vor der Anmeldung abgearbeitet werden und in den User-GPOs finde ich eine derartige Einstellung nicht.
Was (theoretisch) eine Möglichkeit sein könnte ist mit Abmeldescripts arbeiten. Sprich ein Script das beim Abmelden alle Netzwerkadapter aktiviert ..... meldet sich nachher der "kastrierte User" an, werden sie wieder deaktiviert sonst bleibens offen.
Eine GPO wäre mir aber lieber, weil dann das System "einheitlich" bleibt.
Moin,
ich hatte mal eine ähnliche Aufgabe (Ändern des WLANS bei Anmeldung des Gastusers auf dem Präsentationsnotebook). Das habe ich so gelöst:
1. Ein Startskript hat die WLAN-Verbindung zum Firmennetz aktiviert.
2. Eine Aufgabe hat bei Anmeldung eines bestimmten Users (hier LOKAL\Gastaccount) die WLAN-Verbindung deaktiviert und die zum Gastnetz aktiviert.
Beides kann man theoretisch per GPO verteilen. Ich hoffe, die Idee hilft Dir weiter.
Liebe Grüße
Erik
ich hatte mal eine ähnliche Aufgabe (Ändern des WLANS bei Anmeldung des Gastusers auf dem Präsentationsnotebook). Das habe ich so gelöst:
1. Ein Startskript hat die WLAN-Verbindung zum Firmennetz aktiviert.
2. Eine Aufgabe hat bei Anmeldung eines bestimmten Users (hier LOKAL\Gastaccount) die WLAN-Verbindung deaktiviert und die zum Gastnetz aktiviert.
Beides kann man theoretisch per GPO verteilen. Ich hoffe, die Idee hilft Dir weiter.
Liebe Grüße
Erik
Danke
Genau diese Befürchtung, daß es ohne An- und Abmeldescripts nicht geht, die habe ich auch. Ich hoffe noch immer auf eine scriptlose GPO Variante 😊, die wäre mir lieber.
lG
Franz
Genau diese Befürchtung, daß es ohne An- und Abmeldescripts nicht geht, die habe ich auch. Ich hoffe noch immer auf eine scriptlose GPO Variante 😊, die wäre mir lieber.
lG
Franz
- Deaktiviere das Forwarding auf der Firewall, richte einen Proxy ein an dem die User per Windows Credentials automatisch angemeldet werden. User wird dann auf dem Proxy nicht durchgelassen, fertig.
- Alternativ richte eine 802.1x LAN Radius Authentifizierung mit automatischer VLAN-Zuweisung des Users ein. Für die beschränkten User erstellst du dann ein VLAN was keinen Internetzugriff erhält bzw. das Forwarding ins Internet deaktiviert ist.
Cheers briggs
1
Moin,
Die kannst Du ja auch per GPO verteilen. Es muss zum Abschalten übrigens eine Aufgabe sein, da Anmeldeskripts ja im Userkontext laufen. Und Du willst sicher nicht einem User, der kein Netz haben darf, das Recht geben, die NIC abzuschalten.
LG
Erik
Zitat von @Franz-Josef-II:
Genau diese Befürchtung, daß es ohne An- und Abmeldescripts nicht geht, die habe ich auch. Ich hoffe noch immer auf eine scriptlose GPO Variante 😊, die wäre mir lieber.
Genau diese Befürchtung, daß es ohne An- und Abmeldescripts nicht geht, die habe ich auch. Ich hoffe noch immer auf eine scriptlose GPO Variante 😊, die wäre mir lieber.
Die kannst Du ja auch per GPO verteilen.
Es muss zum Abschalten übrigens eine Aufgabe sein, da Anmeldeskripts ja im Userkontext laufen. Und Du willst sicher nicht einem User, der kein Netz haben darf, das Recht geben, die NIC abzuschalten. LG
Erik
