franz-josef-ii
Goto Top

GPO - alle Netzwerkzugriffe für einen Domainuser deaktivieren

Hello

Ich suche eine Möglichkeit (GPO?) einem Domänenbenutzer jeglichen Netzwerkzugriff zu verbieten, egal wo er sich anmeldet. Wenn sich ein anderer anmeldet soll er ihn natürlich haben.

Das was ganz locker geht ist das deaktivieren aller Netzwerkadapter.
Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Geräte -> Netzwerk töten

Nur sie werden beim Abmelden dieses Users nicht wieder aktiviert, sie bleiben tot. Wie kann ich das ändern?


Achja: Client (noch) Windows 10 und der Server ist ein ...... Samba 4

Content-Key: 6452944533

Url: https://administrator.de/contentid/6452944533

Printed on: March 1, 2024 at 00:03 o'clock

Member: Tezzla
Tezzla Mar 21, 2023 at 16:03:52 (UTC)
Goto Top
Moin,

falls ihr ESET als AV Lösung einsetzt, kann man die Client Isolation einschalten, wenn User X angemeldet ist.
Dann darf der Client nur noch mit der ESET Management Console sprechen.

VG
Member: Franz-Josef-II
Franz-Josef-II Mar 21, 2023 at 16:10:42 (UTC)
Goto Top
Haben wir leider nicht. Ich suche eine Lösung mit den "Bordmitteln".

Trotzdem danke


Ich habe mir auch die GPOs mit den Firewallrichtlinien angeschaut, alle nur gerätebasierend ..... 😒
Member: surreal1
surreal1 Mar 21, 2023 at 16:39:34 (UTC)
Goto Top
Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?
Mitglied: 140742
140742 Mar 21, 2023 updated at 16:49:43 (UTC)
Goto Top
Bei einer vernünftig konfigurierten AD nebst sinniger Rechtverwaltung nimmt man den User einfach aus allen passenden Gruppen raus, dann darf er auch nix mehr?
Member: mayho33
mayho33 Mar 21, 2023 updated at 19:31:04 (UTC)
Goto Top
Member: mayho33
mayho33 Mar 21, 2023 updated at 19:33:59 (UTC)
Goto Top
Zitat von @surreal1:

Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?

Macht Sinn, wenn der Client von Viren befallen ist und er isoliert werden muss. Bei einm User sehe ich das auch kritisch.
Member: erikro
erikro Mar 22, 2023 at 08:08:32 (UTC)
Goto Top
Zitat von @mayho33:

Zitat von @surreal1:

Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?

Macht Sinn, wenn der Client von Viren befallen ist und er isoliert werden muss. Bei einm User sehe ich das auch kritisch.

Dann zieht man das Netzwerkkabel. face-wink
Member: Franz-Josef-II
Franz-Josef-II Mar 22, 2023 at 08:11:54 (UTC)
Goto Top
Zitat von @mayho33:
Die Lösung steht hier:

Guten Morgen

Eben (leider) nicht.

Die ganzen Firewallregeln etc in den GPOs finde ich nur unter den Maschineneinstellungen, nicht unter den Usereinstellungen. Wenn die Anmeldemaske da ist sind die Maschineneinstellungen bereits abgearbeitet und es zieht nur mehr der Rest.

Zitat von @surreal1
Was macht das für einen Sinn? ....

Steht doch eh im ersten Posting: Ein User, der wenn er sich anmeldet nichts kann und darf und wenn sich ein anderer anmeldet, dann soll der wiederum alles können und dürfen. Was ist daran unverständlich? Das "warum"? Firmenvorgabe für eine Anmeldemöglichkeit, wo er eben nicht ins Internet soll und rein ausschließlich mit dem lokalen Programm arbeiten soll.

Ich soll es "nur" umsetzen und scheitere eben daran, daß der nächste der sich anmeldet wiederum alles darf.
Member: mayho33
mayho33 Mar 22, 2023 at 08:13:49 (UTC)
Goto Top
Zitat von @erikro:

Zitat von @mayho33:

Zitat von @surreal1:

Du möchtest einem Domainuser das komplette Netzwerk verbieten? Was macht das für einen Sinn? Kein DNS, kein DHCP, keine AD? Oder meinst du Netzlaufwerke?

Macht Sinn, wenn der Client von Viren befallen ist und er isoliert werden muss. Bei einm User sehe ich das auch kritisch.

Dann zieht man das Netzwerkkabel. face-wink

Haha! Und am Ende hat der User das VGA-Kabel von der Dockingstation gerissen face-wink
Member: Franz-Josef-II
Franz-Josef-II Mar 22, 2023 at 08:20:56 (UTC)
Goto Top
Zitat von @mayho33:
Haha! Und am Ende hat der User das VGA-Kabel von der Dockingstation gerissen face-wink

🤣

WLAN-Kabel?
🤣

Alufolie um den Laptop und einen Aluhut für den User, ....... mit einem Erdungskabel verbunden?
😂
Member: surreal1
surreal1 Mar 22, 2023 at 10:03:25 (UTC)
Goto Top
Zitat von @Franz-Josef-II:

Zitat von @mayho33:
Die Lösung steht hier:

Guten Morgen

Eben (leider) nicht.

Die ganzen Firewallregeln etc in den GPOs finde ich nur unter den Maschineneinstellungen, nicht unter den Usereinstellungen. Wenn die Anmeldemaske da ist sind die Maschineneinstellungen bereits abgearbeitet und es zieht nur mehr der Rest.

Zitat von @surreal1
Was macht das für einen Sinn? ....

Steht doch eh im ersten Posting: Ein User, der wenn er sich anmeldet nichts kann und darf und wenn sich ein anderer anmeldet, dann soll der wiederum alles können und dürfen. Was ist daran unverständlich? Das "warum"? Firmenvorgabe für eine Anmeldemöglichkeit, wo er eben nicht ins Internet soll und rein ausschließlich mit dem lokalen Programm arbeiten soll.

Ich soll es "nur" umsetzen und scheitere eben daran, daß der nächste der sich anmeldet wiederum alles darf.

Wo hast du geschrieben das der Internet Zugang verboten werden soll, sodass er nur lokal arbeiten darf? Du verwendest das Wort Netzwerkzugriff, hast aber wohl keine Ahnung was die Definition davon ist. Wenn du nicht weißt, wie du sowas umsetzt, solltest du jemand kompetenten kontaktieren, der sich in diesem Bereich auskennt und auch wirklich ein Administrator ist...
Member: Franz-Josef-II
Franz-Josef-II Mar 22, 2023 updated at 10:12:36 (UTC)
Goto Top
Danke für Deine freundlichen Worte.

Ich sagte eindeutig:

.... einem Domänenbenutzer jeglichen Netzwerkzugriff zu verbieten ....

Aber Du könntest mir ja erklären, wie man einen Internetzugang OHNE Netzwerk macht. ..... na los, Herr oder Frau Admin.
Member: surreal1
surreal1 Mar 22, 2023 updated at 11:58:15 (UTC)
Goto Top
Zitat von @Franz-Josef-II:

Danke für Deine freundlichen Worte.

Ich sagte eindeutig:

.... einem Domänenbenutzer jeglichen Netzwerkzugriff zu verbieten ....

Aber Du könntest mir ja erklären, wie man einen Internetzugang OHNE Netzwerk macht. ..... na los, Herr oder Frau Admin.

Du hast nicht ansatzweise beschrieben was du genau vor Ort an Hardware/Software verwendest, ansonsten könntest du ja das Problem auf Netzwerkebene lösen.

Setz die Mac vom PC auf die deny List vom DHCP, so bekommst du keine automatische IP und sofern der User keine Ahnung und keine Rechte hat, wird er erstmal wenig mit dem Netzwerk anfangen können.
Member: Franz-Josef-II
Franz-Josef-II Mar 22, 2023 at 12:20:05 (UTC)
Goto Top
Ich wiederhole mich sehr ungern, aber lies bitte die Anforderungen:

Zitat von Franz-Josef-II:
Wenn sich ein anderer anmeldet soll er ihn natürlich haben.

Wenn ich die MAC vom PC, dann ist der PC draußen und der nächste User ...... EBENFALLS. Also DNS, DHCP, Router und was sonst noch alles da ist ist völlig bluna, weil die Schnittstelle am Gerät .....

Zitat von @surreal1
Du hast nicht ansatzweise beschrieben was du genau vor Ort an Hardware/Software verwendest, ......

und das steht ebenfalls im ersten Posting:

Zitat von Franz-Josef-II:
Client (noch) Windows 10 und der Server ist ein ...... Samba 4

Die Anforderung: mit GPO steht ebenfalls dort.


Also es geht um eine USER-GPO, die alle Netzwerkverbindungen, egal ob LAN mit und ohne "W" davor, egal ob Bluetooth etc für einen User kappt, das schaffe ich sogar, wie beschrieben ganz locker, und für den NÄCHSTEN User wieder aktiviert. Somit kann es keine "Computer GPO" sein, weil die eben vor der Anmeldung abgearbeitet werden und in den User-GPOs finde ich eine derartige Einstellung nicht.

Was (theoretisch) eine Möglichkeit sein könnte ist mit Abmeldescripts arbeiten. Sprich ein Script das beim Abmelden alle Netzwerkadapter aktiviert ..... meldet sich nachher der "kastrierte User" an, werden sie wieder deaktiviert sonst bleibens offen.

Eine GPO wäre mir aber lieber, weil dann das System "einheitlich" bleibt.
Member: erikro
erikro Mar 22, 2023 at 12:39:04 (UTC)
Goto Top
Moin,

ich hatte mal eine ähnliche Aufgabe (Ändern des WLANS bei Anmeldung des Gastusers auf dem Präsentationsnotebook). Das habe ich so gelöst:

1. Ein Startskript hat die WLAN-Verbindung zum Firmennetz aktiviert.
2. Eine Aufgabe hat bei Anmeldung eines bestimmten Users (hier LOKAL\Gastaccount) die WLAN-Verbindung deaktiviert und die zum Gastnetz aktiviert.

Beides kann man theoretisch per GPO verteilen. Ich hoffe, die Idee hilft Dir weiter.

Liebe Grüße

Erik
Member: Franz-Josef-II
Franz-Josef-II Mar 22, 2023 at 15:01:04 (UTC)
Goto Top
Danke

Genau diese Befürchtung, daß es ohne An- und Abmeldescripts nicht geht, die habe ich auch. Ich hoffe noch immer auf eine scriptlose GPO Variante 😊, die wäre mir lieber.


lG
Franz
Mitglied: 6247018886
6247018886 Mar 22, 2023 updated at 15:12:12 (UTC)
Goto Top
  • Deaktiviere das Forwarding auf der Firewall, richte einen Proxy ein an dem die User per Windows Credentials automatisch angemeldet werden. User wird dann auf dem Proxy nicht durchgelassen, fertig.
  • Alternativ richte eine 802.1x LAN Radius Authentifizierung mit automatischer VLAN-Zuweisung des Users ein. Für die beschränkten User erstellst du dann ein VLAN was keinen Internetzugriff erhält bzw. das Forwarding ins Internet deaktiviert ist.

Cheers briggs
Member: erikro
erikro Mar 22, 2023 at 15:09:23 (UTC)
Goto Top
Moin,

Zitat von @Franz-Josef-II:
Genau diese Befürchtung, daß es ohne An- und Abmeldescripts nicht geht, die habe ich auch. Ich hoffe noch immer auf eine scriptlose GPO Variante 😊, die wäre mir lieber.

Die kannst Du ja auch per GPO verteilen. face-wink Es muss zum Abschalten übrigens eine Aufgabe sein, da Anmeldeskripts ja im Userkontext laufen. Und Du willst sicher nicht einem User, der kein Netz haben darf, das Recht geben, die NIC abzuschalten. face-wink

LG

Erik