33968
23.08.2006, aktualisiert am 18.07.2007
9403
9
0
Internetzugang für user sperren
Ich möchte für bestimmte User das Internet Sperren.
Welche möglichkeiten habe ich dafür? Vor und Nachteile?
Geht das auch über Gruppenrichtlinien, wenn ja wie?
Fragen über Fragen... aber ich muss nur wissen wie ich für bestimmte User das Internet Sperre
Welche möglichkeiten habe ich dafür? Vor und Nachteile?
Geht das auch über Gruppenrichtlinien, wenn ja wie?
Fragen über Fragen... aber ich muss nur wissen wie ich für bestimmte User das Internet Sperre
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 15509
Url: https://administrator.de/contentid/15509
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
9 Kommentare
Neuester Kommentar
wie sieht denn dein netzwerkaufbau aus??
Ich habe eine Testumgebung aufgebaut
1 virtuellen Windows 2000 Server mit 2 virtuellen windows 2000 professional clients.
1 virtuellen Windows 2000 Server mit 2 virtuellen windows 2000 professional clients.
Bei uns ist Microsoft ISA Server 2004 im Einsatz. Damit kannst Du Firewallregeln auf Benutzerebene erstellen. Billiger wäre es allerdings die Windows-Firewall über eine GPO zu konfigurieren.
Hi
Der falsche Ansatz ist, auf dem Client eine Sperre aufzubauen. Diese kann leicht ausgehebelt werden.
Wir haben bei uns ein ISA-Server-Konzept im Einsatz. Damit kannst du genau Regeln, wer was darf und was nicht.
Ein negativer Punkt sind natürlich die Kosten!
gretz drop
Der falsche Ansatz ist, auf dem Client eine Sperre aufzubauen. Diese kann leicht ausgehebelt werden.
Wir haben bei uns ein ISA-Server-Konzept im Einsatz. Damit kannst du genau Regeln, wer was darf und was nicht.
Ein negativer Punkt sind natürlich die Kosten!
gretz drop
Ich meine nicht die Sperrung auf den einzelnen Computer, sondern die Computer sollen sich dynamisch den Usern anpassen und eine Internetsperre bei bestimmten Usern besitzen.
Hier habe ich schon selber paar Lösungsvorschläge:
1. Per Proxy
Hier wurde eine OU, für alle User dennen das Internet gesperrt wird, erstellt.
Auf diese OU kommt die GPO für die User mit Internetsperre
GPO ist wie folgt konfiguriert:
Computerkonfiguration:
Benutzerkonfiguration:
Windows-Einstellungen – Internet-Explorer-Wartung – Verbindung -- Proxyeinstellungen
 dort irgendeine ungenutzte IP als Proxy eingeben.
Administrative Vorlagen – Windows-Komponenten – Internet-Explorer
 Ändern der Proxyeinstellungen deaktivieren
Administrative Vorlagen – Windows-Komponenten – Internet-Explorer – Browser-Menüs
 Internetoption deaktivieren
2. Per Anmelde-Script
Das Script sollte so funktionieren, dass das Gateway aus der Netzwerkverbindung rausgenommen oder falsch gesetzt wird.
Das entfernen des Gateways heisst per Definition, dass JEGLICHER Internetverkehr unterbunden wird.
Script für User mit Internetsperre:
netsh interface ip set address "LAN-Verbindung" static 192.168.0.100 255.255.255.0 192.168.0.250
Script für Internetberechtigte:
netsh interface ip set address "LAN-Verbindung" dhcp
GPO ist wie folgt konfiguriert:
Computerkonfiguration:
Benutzerkonfiguration:
Windows-Einstellungen – Skripts -- Anmelden
 dort den Pfad des Scripts angegeben.
Hat es da noch mehr möglichkeiten oder sonstige Anregungen?
Hier habe ich schon selber paar Lösungsvorschläge:
1. Per Proxy
Hier wurde eine OU, für alle User dennen das Internet gesperrt wird, erstellt.
Auf diese OU kommt die GPO für die User mit Internetsperre
GPO ist wie folgt konfiguriert:
Computerkonfiguration:
Benutzerkonfiguration:
Windows-Einstellungen – Internet-Explorer-Wartung – Verbindung -- Proxyeinstellungen
 dort irgendeine ungenutzte IP als Proxy eingeben.
Administrative Vorlagen – Windows-Komponenten – Internet-Explorer
 Ändern der Proxyeinstellungen deaktivieren
Administrative Vorlagen – Windows-Komponenten – Internet-Explorer – Browser-Menüs
 Internetoption deaktivieren
2. Per Anmelde-Script
Das Script sollte so funktionieren, dass das Gateway aus der Netzwerkverbindung rausgenommen oder falsch gesetzt wird.
Das entfernen des Gateways heisst per Definition, dass JEGLICHER Internetverkehr unterbunden wird.
Script für User mit Internetsperre:
netsh interface ip set address "LAN-Verbindung" static 192.168.0.100 255.255.255.0 192.168.0.250
Script für Internetberechtigte:
netsh interface ip set address "LAN-Verbindung" dhcp
GPO ist wie folgt konfiguriert:
Computerkonfiguration:
Benutzerkonfiguration:
Windows-Einstellungen – Skripts -- Anmelden
 dort den Pfad des Scripts angegeben.
Hat es da noch mehr möglichkeiten oder sonstige Anregungen?
Der Beitrag gilt als gelöst,
jedoch möchte ich mal wissen, wo genau die Lösung zufinden ist, diese nicht markiert ist!
@ivan:
Wenn du das Gateway auf eine beliebige Adresse setzt, sperrst du zwar auch den Internetverkehr, jedoch auch den Verkehr zu den anderen netzen, solltet ihr mehrere logische Netze haben ... du dürftest mich sicher verstehen!
Aber die Frage ist dann auch, ob dieser Benutzer mit eingeschränkten Rechten wirklich auf das andere Netz zugreifen muss ...
Grüße
Midivirus
jedoch möchte ich mal wissen, wo genau die Lösung zufinden ist, diese nicht markiert ist!
@ivan:
Wenn du das Gateway auf eine beliebige Adresse setzt, sperrst du zwar auch den Internetverkehr, jedoch auch den Verkehr zu den anderen netzen, solltet ihr mehrere logische Netze haben ... du dürftest mich sicher verstehen!
Aber die Frage ist dann auch, ob dieser Benutzer mit eingeschränkten Rechten wirklich auf das andere Netz zugreifen muss ...
Grüße
Midivirus
Ja da haste recht.
Die 2. Lösungsvariante ist absolut umständlich und kann zu verhärenden Problemen führen, da manche Anwendungen trotz Internetsperre immer noch einen Gateway brauchen.
Man kann diese Lösung nicht ernst nehmen da man mehr Probleme verursacht als Löst!
Die erste Lösungsvariante ist dagegen optimal!
Die 2. Lösungsvariante ist absolut umständlich und kann zu verhärenden Problemen führen, da manche Anwendungen trotz Internetsperre immer noch einen Gateway brauchen.
Man kann diese Lösung nicht ernst nehmen da man mehr Probleme verursacht als Löst!
Die erste Lösungsvariante ist dagegen optimal!
Wunderschön,
dann sind wir ja einer Meinung
Die zweite Lösung ist dämlich, sorry! Sowas macht man als Admin niemals!
Mit einem Proxy kannst du sogar noch schauen, wer versucht, ins Internet zukommen!
Ich benutze privat den Proxy+.
Er bietet für Privatpersonen ausreichend Funktionen und ist bis 3 Benutzer zusätzlich freeware. Dort kann der eingebaute Proxy als transparent, authentifiziert gestellt werden.
So wird im Log auch sichtbar, welche Person, von welchem Rechner aus etwas getan hat!
Aber deine Lösung scheint auf dem ersten Blick auch sauber zu sein.
Grüße aus NRW,
Midivirus
dann sind wir ja einer Meinung
Die zweite Lösung ist dämlich, sorry! Sowas macht man als Admin niemals!
Mit einem Proxy kannst du sogar noch schauen, wer versucht, ins Internet zukommen!
Ich benutze privat den Proxy+.
Er bietet für Privatpersonen ausreichend Funktionen und ist bis 3 Benutzer zusätzlich freeware. Dort kann der eingebaute Proxy als transparent, authentifiziert gestellt werden.
So wird im Log auch sichtbar, welche Person, von welchem Rechner aus etwas getan hat!
Aber deine Lösung scheint auf dem ersten Blick auch sauber zu sein.
Grüße aus NRW,
Midivirus
Tipp Nummer 1 funktioniert super.
Danke
Danke
