Internetzugang für user sperren

Mitglied: 33968

33968

23.08.2006, aktualisiert 18.07.2007, 8870 Aufrufe, 9 Kommentare

Ich möchte für bestimmte User das Internet Sperren.

Welche möglichkeiten habe ich dafür? Vor und Nachteile?
Geht das auch über Gruppenrichtlinien, wenn ja wie?

Fragen über Fragen... aber ich muss nur wissen wie ich für bestimmte User das Internet Sperre
Mitglied: frost3006
23.08.2006 um 11:58 Uhr
wie sieht denn dein netzwerkaufbau aus??
Bitte warten ..
Mitglied: 33968
33968 (Level 2)
23.08.2006 um 12:02 Uhr
Ich habe eine Testumgebung aufgebaut

1 virtuellen Windows 2000 Server mit 2 virtuellen windows 2000 professional clients.
Bitte warten ..
Mitglied: derCaptain
23.08.2006 um 13:22 Uhr
Bei uns ist Microsoft ISA Server 2004 im Einsatz. Damit kannst Du Firewallregeln auf Benutzerebene erstellen. Billiger wäre es allerdings die Windows-Firewall über eine GPO zu konfigurieren.
Bitte warten ..
Mitglied: 17243
17243 (Level 2)
23.08.2006 um 13:35 Uhr
Hi

Der falsche Ansatz ist, auf dem Client eine Sperre aufzubauen. Diese kann leicht ausgehebelt werden.
Wir haben bei uns ein ISA-Server-Konzept im Einsatz. Damit kannst du genau Regeln, wer was darf und was nicht.
Ein negativer Punkt sind natürlich die Kosten! :-( face-sad

gretz drop
Bitte warten ..
Mitglied: 33968
33968 (Level 2)
23.08.2006 um 14:15 Uhr
Ich meine nicht die Sperrung auf den einzelnen Computer, sondern die Computer sollen sich dynamisch den Usern anpassen und eine Internetsperre bei bestimmten Usern besitzen.

Hier habe ich schon selber paar Lösungsvorschläge:

1. Per Proxy
Hier wurde eine OU, für alle User dennen das Internet gesperrt wird, erstellt.
Auf diese OU kommt die GPO für die User mit Internetsperre

GPO ist wie folgt konfiguriert:
Computerkonfiguration:

Benutzerkonfiguration:
Windows-Einstellungen – Internet-Explorer-Wartung – Verbindung -- Proxyeinstellungen
 dort irgendeine ungenutzte IP als Proxy eingeben.

Administrative Vorlagen – Windows-Komponenten – Internet-Explorer
 Ändern der Proxyeinstellungen deaktivieren


Administrative Vorlagen – Windows-Komponenten – Internet-Explorer – Browser-Menüs
 Internetoption deaktivieren
2. Per Anmelde-Script
Das Script sollte so funktionieren, dass das Gateway aus der Netzwerkverbindung rausgenommen oder falsch gesetzt wird.

Das entfernen des Gateways heisst per Definition, dass JEGLICHER Internetverkehr unterbunden wird.

Script für User mit Internetsperre:
netsh interface ip set address "LAN-Verbindung" static 192.168.0.100 255.255.255.0 192.168.0.250

Script für Internetberechtigte:
netsh interface ip set address "LAN-Verbindung" dhcp


GPO ist wie folgt konfiguriert:

Computerkonfiguration:

Benutzerkonfiguration:
Windows-Einstellungen – Skripts -- Anmelden
 dort den Pfad des Scripts angegeben.
Hat es da noch mehr möglichkeiten oder sonstige Anregungen?
Bitte warten ..
Mitglied: Midivirus
23.08.2006 um 21:21 Uhr
Der Beitrag gilt als gelöst,
jedoch möchte ich mal wissen, wo genau die Lösung zufinden ist, diese nicht markiert ist!


@ivan:
Wenn du das Gateway auf eine beliebige Adresse setzt, sperrst du zwar auch den Internetverkehr, jedoch auch den Verkehr zu den anderen netzen, solltet ihr mehrere logische Netze haben ... du dürftest mich sicher verstehen!

Aber die Frage ist dann auch, ob dieser Benutzer mit eingeschränkten Rechten wirklich auf das andere Netz zugreifen muss ...


Grüße
Midivirus
Bitte warten ..
Mitglied: 33968
33968 (Level 2)
25.08.2006 um 13:15 Uhr
Ja da haste recht.

Die 2. Lösungsvariante ist absolut umständlich und kann zu verhärenden Problemen führen, da manche Anwendungen trotz Internetsperre immer noch einen Gateway brauchen.
Man kann diese Lösung nicht ernst nehmen da man mehr Probleme verursacht als Löst!

Die erste Lösungsvariante ist dagegen optimal!
Bitte warten ..
Mitglied: Midivirus
25.08.2006 um 16:23 Uhr
Wunderschön,
dann sind wir ja einer Meinung :) face-smile

Die zweite Lösung ist dämlich, sorry! Sowas macht man als Admin niemals!
Mit einem Proxy kannst du sogar noch schauen, wer versucht, ins Internet zukommen!

Ich benutze privat den Proxy+.
Er bietet für Privatpersonen ausreichend Funktionen und ist bis 3 Benutzer zusätzlich freeware. Dort kann der eingebaute Proxy als transparent, authentifiziert gestellt werden.
So wird im Log auch sichtbar, welche Person, von welchem Rechner aus etwas getan hat!

Aber deine Lösung scheint auf dem ersten Blick auch sauber zu sein.

Grüße aus NRW,
Midivirus
Bitte warten ..
Mitglied: iFritz
18.07.2007 um 16:37 Uhr
Tipp Nummer 1 funktioniert super.

Danke
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit10 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Windows 10
Netzwerkzugriff intern extern blockiert nach Aufbau NordVPN Verbindung
gelöst Slavik-10Vor 1 TagFrageWindows 1030 Kommentare

hallo Leute, ich habe mir vor kurzem ein VPN Anbieter bestellt. Das Problem an der ganzen Sache ist, sobald eine VPN Verbindung zu einem ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 1 TagFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Netzwerkgrundlagen
Router für neues Heimnetzwerk - was will man 2021 haben?
billy01Vor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Guten Abend zusammen, nachdem sich bei mir viel getan hat, stehe ich nun vor einem Umzug und dem Neuaufbau meines Heimnetzwerkes. Also weg von ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 1 TagFrageWindows Server15 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 18 StundenFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 16 StundenFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 18 StundenFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...