Internetzugriff für bestimmte Clients per GPO verbieten
Hallo,
Ist Zustand (Proxyserver vorhanden):
Es gibt Clients z.B. Archivrechner, welche keinen Internetzugriff erhalten sollen (egal welcher Benutzer angemeldet ist).
Momentan gibt es eine Mitarbeitergruppe welche ebenfalls keinen Internetzugriff besitzt. Soweit passen die Einstellungen. (Nicht existierenden Proxy eingetragen)
Wie verhält es sich, wenn ein bestimmter Client kein Internet haben darf, egal bei welchem User.
Ich habe es bereits versucht per GPO einzustellen, jedoch zieht die Einstellung nicht, wenn ein Benutzer sich am Client anmeldet, welcher im "normalen" Umfeld Verbindung zum Internet hat.
Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.
Grüße Sebastian.
Ist Zustand (Proxyserver vorhanden):
Es gibt Clients z.B. Archivrechner, welche keinen Internetzugriff erhalten sollen (egal welcher Benutzer angemeldet ist).
Momentan gibt es eine Mitarbeitergruppe welche ebenfalls keinen Internetzugriff besitzt. Soweit passen die Einstellungen. (Nicht existierenden Proxy eingetragen)
Wie verhält es sich, wenn ein bestimmter Client kein Internet haben darf, egal bei welchem User.
Ich habe es bereits versucht per GPO einzustellen, jedoch zieht die Einstellung nicht, wenn ein Benutzer sich am Client anmeldet, welcher im "normalen" Umfeld Verbindung zum Internet hat.
Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.
Grüße Sebastian.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 253136
Url: https://administrator.de/forum/internetzugriff-fuer-bestimmte-clients-per-gpo-verbieten-253136.html
Ausgedruckt am: 03.04.2025 um 16:04 Uhr
10 Kommentare
Neuester Kommentar
Hi,
das wirst Du dann über Loopback übersteuern müssen.
Sofern Du den Proxy nicht per Script einträgst:
Computer und Benutzer müssen in verschiedene OUs. Am besten auch nicht untereinander verschachtelte OU.
Du musst eine GPO für den Computer erstellen und an die OU mit dem Computer hängen. Diese muss den Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.
Dann in der OU mit dem Computer eine weitere GPO für alle Benutzer erstellen, welche explizit keinen Proxy einstellt.
Wenn sich die Benutzer nun an diesen PC anmeldet, dann wirkt die neuen GPO und übersteuert die andere GPO mit den Proxy-Einstellungen.
Wenn er sich an einem anderen PC anmeldet, für welchen nicht die Loopback und Nicht-Proxy-GPO wirken, dann wirkt für ihn die "mormale" Proxy-GPO.
E.
Edit: habe Text nochmal korrigiert.
das wirst Du dann über Loopback übersteuern müssen.
Sofern Du den Proxy nicht per Script einträgst:
Computer und Benutzer müssen in verschiedene OUs. Am besten auch nicht untereinander verschachtelte OU.
Du musst eine GPO für den Computer erstellen und an die OU mit dem Computer hängen. Diese muss den Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.
Dann in der OU mit dem Computer eine weitere GPO für alle Benutzer erstellen, welche explizit keinen Proxy einstellt.
Wenn sich die Benutzer nun an diesen PC anmeldet, dann wirkt die neuen GPO und übersteuert die andere GPO mit den Proxy-Einstellungen.
Wenn er sich an einem anderen PC anmeldet, für welchen nicht die Loopback und Nicht-Proxy-GPO wirken, dann wirkt für ihn die "mormale" Proxy-GPO.
E.
Edit: habe Text nochmal korrigiert.
Moin,
da du im Eröffnungssatz bereits erwähnt hast, dass ein Proxyserver im Einsatz ist, kannst du diesen doch dazu nutzen um mit Hilfe von Firewallregeln/Gruppen bestimmten IPs den Zugang zum Internet zu verweigern...
Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Beste Grüße
da du im Eröffnungssatz bereits erwähnt hast, dass ein Proxyserver im Einsatz ist, kannst du diesen doch dazu nutzen um mit Hilfe von Firewallregeln/Gruppen bestimmten IPs den Zugang zum Internet zu verweigern...
Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Beste Grüße
Hi,
Mit einem Proxy eingetragen braucht man kein Gateway (du meinst hier sicher Router) für den Internetzugriff ...
E.
Zitat von @skahle85:
Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Anmerkung:Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Mit einem Proxy eingetragen braucht man kein Gateway (du meinst hier sicher Router) für den Internetzugriff ...
E.
Zum gpresult:
Hier ist nichts zum Benutzer drin ...
Wenn pro Computer, dann darf im Gegenzug dem Benutzer kein Proxy mitgegeben werden. Ich denke das ist klar.
Und dann macht die Sache mit dem Loopback natürlich auch keinen Sinn. Nicht dafür.
Hast Du sichergestellt, dass für betreffende Computer die "Computer - NO Internet" gegenüber der "Default ALT Policy" gewinnt? Entweder durch die GPO-Rangfolge oder ggf. durch Erzwinger der GPOs.
E.
Hier ist nichts zum Benutzer drin ...
Ebenfalls ist aktiviert -> Proxyeinstellungen pro Computer vornehmen
Sorry, das hatte ich überlesen.Wenn pro Computer, dann darf im Gegenzug dem Benutzer kein Proxy mitgegeben werden. Ich denke das ist klar.
Und dann macht die Sache mit dem Loopback natürlich auch keinen Sinn. Nicht dafür.
Hast Du sichergestellt, dass für betreffende Computer die "Computer - NO Internet" gegenüber der "Default ALT Policy" gewinnt? Entweder durch die GPO-Rangfolge oder ggf. durch Erzwinger der GPOs.
E.
Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.
Einfach eine statische IP OHNE Default Gateway auf diesem Rechner konfigurieren und schon ists aus mit dem Internet !So einfach ist das !
(Na ja...jedenfalls so lange dort keiner mit einer CD oder USB Stick ein Live System bootet oder den PC von zuhause anschliesst und dann wieder Internet hat
Um letzteres auch zu verhindern und es wirklich wasserdicht zu machen kannst du dann noch eine Port Security mit 802.1x aktivieren sofern deine LAN Switches das supporten:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch