splashbx
Goto Top

Gruppenrichtlinie nicht anwenden, wenn der Laptop nicht im Firmennetz hängt

Hallo Leute,

ich habe ein Problem mit einem Proxy Server. Und zwar, läuft der auf der IP 192.168.3.1 Port: 8080. Ich habe nun eine Gruppenrichtlinie angewandt, dass im Internet Explorer automatisch dieser Eintrag als Proxy Server vorgenommen wird. Ich habe ebenfalls ausgestellt, dass die User das ändern können.

Nun habe ich folgendes Problem, manche User besitzen einen Laptop und arbeiten auch manchmal zuhause. Wenn diese aber zuhause sind, gibt es keinen Proxy der auf 192.168.3.1 läuft, der ist ja in der Firma.

Wie kann ich dieses Problem lösen, dass wen die User zuhause sind, kein ProxyServer eingetragen wird, oder dass die Gruppenrichtlinie nur dann greift, wenn der PC sich in der Firma befindet.

Gruß
Daniel

Content-ID: 42569

Url: https://administrator.de/forum/gruppenrichtlinie-nicht-anwenden-wenn-der-laptop-nicht-im-firmennetz-haengt-42569.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

primusvs
primusvs 19.10.2006 um 17:14:47 Uhr
Goto Top
Hallo splashbx,

vielleicht hilft dieses Tool ja weiter.


NETPROFILES


HP: http://netprofiles.danielmilner.com/index.php

SS: http://netprofiles.danielmilner.com/screen_shots.php


Gruss

primusvs
splashbx
splashbx 19.10.2006 um 17:18:05 Uhr
Goto Top
Ich hätte da eher an eine automatisierte Lösung gedacht, da es ja doch mehrere Clients sind
primusvs
primusvs 19.10.2006 um 18:43:05 Uhr
Goto Top
@splashbx,

hier hab ich noch etwas von MS gefunden "Tweakomatic"
Vielleicht kannst du damit ein Logoff Script (%SYSTEMROOT%\System32\GroupPolicy\Maschine\Scripts\Shutdown) erstellen mit den gewünschten IE einstellungen.

Hier ein Auszug:

Microsoft bietet Tweakomatic ab sofort kostenlos zum Download an

Speziell für Administratoren bietet Microsoft mit Tweakomatic ein Werkzeug an, um Einstellungen von Windows sowie dem Internet auslesen und an andere Systeme übertragen zu können. Zum Einsatz des Tools muss der Internet Explorer 6.0 sowie eine Word-Version vorliegen.

Tweakomatic schreibt WMI-Skripte, um Einstellungen des Windows-Betriebssystems oder vom Internet Explorer auszulesen und diese an einen entfernten Rechner zu übertragen. Damit lassen sich solche Systemeinstellungen etwa in einem Netzwerk leichter systemweit vornehmen. Die Skripte lassen sich dabei als Logon- oder Logoff-Skript einbinden.

Tweakomatic ist ab sofort in englischer Sprache für Windows 2000, XP und Server 2003 kostenlos als Download erhältlich. Als Systemvoraussetzungen wird der Internet Explorer 6.0 sowie Microsoft Word benötigt.


Gruss

primusvs
primusvs
primusvs 19.10.2006 um 18:48:37 Uhr
Goto Top
splashbx
splashbx 19.10.2006 um 21:24:23 Uhr
Goto Top
Hey Danke!!!

Das Problem hat sich erübrigt, die Clients können komischerweise auch wenn der Proxy eingetragen ist normal im Internet surfen wenn sie sich nicht im Firmennetz befinden. Ich glaube das liegt daran, dass keine Netzwerkverbidnung akitv ist und der Proxy Server nicht gesucht wird.

Aber das mit Tweakomatic werde ich sicher mal versuchen, kann auch noch für andere Dinge gut sein.

Vielen Dank an alle, ist schon super wie einem in diesem Forum schnell und kompetent geholfen wird!!

Gruß
Daniel
Rafiki
Rafiki 19.10.2006 um 21:55:22 Uhr
Goto Top
Hi,

ich vermute das noch einige andere Forumsteilnehmer das gleiche Problem haben und ich erlaube mir daher etwas allgemeiner zu Antworten.

ich habe mir folgende Lösung mit einer proxy.pac Datei erarbeitet, die sehr flexibel, effizient und zuverlässig ist.

Auf einem Webserver, der nur im internen LAN erreichbar ist, wird eine proxy.pac Datei abgelegt. Die Datei füllt die Funktion FindProxyForURL mit leben aus und wird bei öffnen des Browsers geladen. Das funktioniert mit dem IE5, 6, und 7 sowie mit Netscape 4.x und neuer aber auch mit Firefox.


Die Funktion bekommt die url die geladen werden soll und den host übergeben. Rückgabewert ist entweder DIRECT, also keinen Proxy verwenden oder die Adresse:Port Angabe von dem Proxy. Die einfachste Version wäre also:
 function FindProxyForURL(url, host) { return "PROXY 192.168.4.45:8080"; }    
hier wird immer die IP Adresse und der Port des Proxyservers zurückgegeben. Das entspricht einer fest eingetragenen Group Policy.

Etwas schlauer ist diese Version:
function FindProxyForURL(url, host) 
{ 

if (isPlainHostName(host))
   return "DIRECT";  
if (dnsDomainIs(host, ".meinefirma.de"))   
   return "DIRECT";  
if (shExpMatch(host, "192.168.4.*"))  
     return "DIRECT";   
if (shExpMatch(host, "127.0.0.1"))  
     return "DIRECT";   
   
if (isInNet(myIpAddress(), "192.168.4.0", "255.255.255.0"))   
  return "PROXY proxy:8080";   

return "DIRECT";   
}

In den ersten drei if Statements wird geprüft, ob es sich um einen Computer in diesem lokalen Netzwerk handelt. Die 127.0.0.1 ist eine Erleichterung für Programmierer, die einen Webserver auf dem eigenen PC betreiben. z.B. asp.net oder Visual Studio oder Dreamwaver.

Dann die wichtige Zeile: Wenn meine IP-Adresse in dieses Netzwerk passt, dann Rückgabewert proxy:port. Wobei proxy wiederum ein cname im DNS ist, der auf den eigentlichen Proxyserver zeigt. z.B. cname proxy -> isaserver.meinefirma.de -> IP 192.168.4.45. Mit dem cname Trick kann der proxy mal schnell auf einen anderen Server gewechselt werden ohne das die Proxy.pac geändert und vom Client neu geladen werden muss.

Die proxy.pac-Datei legt man am besten auf einem zuverlässigen internen Webserver ab. Z. B. ein Domain Controller der auch Zertifikate Authority ist hat meistes den IIS laufen oder z. B. der Intranetserver für die firmeninternen News. Das kann auch der Proxyserver sein, der parallel einen Webserverdienst betreibt. Es genügt schon ein ganz kleiner wie der Abyss Web Server X1, http://www.aprelium.com/

Ein zweiter cname, nennen wir ihn doch start zeigt auf diesen Webserver. Also canme start -> bigserver.meinefirma.de -> IP 192.168.4.20

Im Browser wird jetzt das automatische Konfigurationsscript eingetragen: http://start/proxy.pac
Bzw. für die IE Benutzer ganz komfortabel die entsprechende Group Policy.


Änderungen sind denkbar einfach.
  • Die IP-Adresse des Proxyservers wird im DNS geändert.
  • Es ist auch möglich, für einzelne Adressen andere Proxyserver zu verwenden.
  • Wenn der Webserver für die Proxy.pac nicht läuft, wird nur der cname Eintrag für start geändert.
  • Wenn das Netzwerk neue IP Adressbereiche bekommt, wie z.b. VPN Verbindungen zu Partnerfirmen, werden diese in der proxy.pac ausgenommen.

Jetzt noch zu deinem Problem, wenn ein Notebook auf reisen ist, kann es die Proxy.pac nicht erreichen da diese nur auf dem internen Firmenwebserver liegt. Dann arbeitet der Browser nach wenigen Sekunden Time-out ohne einen Proxy.

Wenn eine VPN-Verbindung zur Firma aufgebaut wird, dann ist die proxy.pac Datei wieder erreichbar und es wird der Proxyserver verwendet, bzw. die internen Webseiten laufen direkt, über das VPN aber ohne den Proxyserver.


Gruß Rafiki
PS: Ich freue mich immer wieder, wenn jemand im Forum kurz berichtet ob eine angebotene Lösung erfolgreich war oder auch nicht.
splashbx
splashbx 19.10.2006 um 22:22:37 Uhr
Goto Top
Oh man, ist das hefitg face-smile

Ich werde es mal im laufe der nächsten Woche ausprobieren, da ich zeitlich etwas angespannt bin. Werde dann berichten, wie es gelaufen ist.

Danke!!
rc-computer
rc-computer 23.10.2006 um 12:56:52 Uhr
Goto Top
Hi Rafiki,

das ganze sieht sehr interessant aus. Ich kann mir gut vorstellen dies bei den Kunden zu integrieren.

Eine frage bleibt jedoch: gibt es eine Referenzseite fuer den Syntax von diesen Proxy Scripting?

Mit freundlichen Gruessen
- Johannes Matjeschk
Rafiki
Rafiki 23.10.2006 um 16:03:32 Uhr
Goto Top
Einleitung zu proxy.pac
http://en.wikipedia.org/wiki/Proxy.pac

Referenz zu function FindProxyForURL(url, host)
http://wp.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html

Gruß Rafiki
zeiman
zeiman 11.12.2008 um 18:18:22 Uhr
Goto Top
wie kann man das script jedoch verfügbar machen wenn der server ausfällt auf dem die wpad.dat liegt?

aber dennoch sollte die lösung zentral sein - oder automatisch im AD verteilt werden...

weis jmd rat? face-wink
Rafiki
Rafiki 11.12.2008 um 20:13:16 Uhr
Goto Top
Deshalb sagte ich:
Die proxy.pac-Datei legt man am besten auf einem zuverlässigen internen Webserver ab. Z. B. ein Domain Controller

Da du am besten einen cname (Pointer) verwendest kannst du bei einem Serverausfall sehr schnell reagieren und das script auf irgend einem anderen Webserver anbieten. Du braucht nur den cname zu ändern.
aaj007
aaj007 10.06.2009 um 16:24:09 Uhr
Goto Top
Hallo,

ich versuche mich auch gerade an der PROXY.PAC und möchte schon mal vorab Rafiki danke für die Tolle Anleitung.

Leider habe ich ein kleines Problem, ich teste die Datei lokal und lade Sie im IE7 & IE8 mit FILE:D:/PROXY.PAC und es sieht soweit schon mal ganz gut aus, nun versuche ich das selbe in Firefox mit FILE:/D:/PROXY.PAC und es funktioniert hier nicht.

Muss die Datei in einem bestimmten Format abgespeichert werden???

Ich bearbeite diese mit NOTEPAD++.

Für Infos wäre ich sehr dankbar.

mfg
André J.
aaj007
aaj007 06.07.2009 um 08:51:23 Uhr
Goto Top
Hallo,

mein Problem war ein SYNTAX Fehler daher gefixt.

Gute Seite ist auch http://www.findproxyforurl.com/index.html

greetz.