Internetzugriff für bestimmte Clients per GPO verbieten
Hallo,
Ist Zustand (Proxyserver vorhanden):
Es gibt Clients z.B. Archivrechner, welche keinen Internetzugriff erhalten sollen (egal welcher Benutzer angemeldet ist).
Momentan gibt es eine Mitarbeitergruppe welche ebenfalls keinen Internetzugriff besitzt. Soweit passen die Einstellungen. (Nicht existierenden Proxy eingetragen)
Wie verhält es sich, wenn ein bestimmter Client kein Internet haben darf, egal bei welchem User.
Ich habe es bereits versucht per GPO einzustellen, jedoch zieht die Einstellung nicht, wenn ein Benutzer sich am Client anmeldet, welcher im "normalen" Umfeld Verbindung zum Internet hat.
Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.
Grüße Sebastian.
Ist Zustand (Proxyserver vorhanden):
Es gibt Clients z.B. Archivrechner, welche keinen Internetzugriff erhalten sollen (egal welcher Benutzer angemeldet ist).
Momentan gibt es eine Mitarbeitergruppe welche ebenfalls keinen Internetzugriff besitzt. Soweit passen die Einstellungen. (Nicht existierenden Proxy eingetragen)
Wie verhält es sich, wenn ein bestimmter Client kein Internet haben darf, egal bei welchem User.
Ich habe es bereits versucht per GPO einzustellen, jedoch zieht die Einstellung nicht, wenn ein Benutzer sich am Client anmeldet, welcher im "normalen" Umfeld Verbindung zum Internet hat.
Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.
Grüße Sebastian.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 253136
Url: https://administrator.de/forum/internetzugriff-fuer-bestimmte-clients-per-gpo-verbieten-253136.html
Ausgedruckt am: 26.04.2025 um 11:04 Uhr
10 Kommentare
Neuester Kommentar
Hi,
das wirst Du dann über Loopback übersteuern müssen.
Sofern Du den Proxy nicht per Script einträgst:
Computer und Benutzer müssen in verschiedene OUs. Am besten auch nicht untereinander verschachtelte OU.
Du musst eine GPO für den Computer erstellen und an die OU mit dem Computer hängen. Diese muss den Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.
Dann in der OU mit dem Computer eine weitere GPO für alle Benutzer erstellen, welche explizit keinen Proxy einstellt.
Wenn sich die Benutzer nun an diesen PC anmeldet, dann wirkt die neuen GPO und übersteuert die andere GPO mit den Proxy-Einstellungen.
Wenn er sich an einem anderen PC anmeldet, für welchen nicht die Loopback und Nicht-Proxy-GPO wirken, dann wirkt für ihn die "mormale" Proxy-GPO.
E.
Edit: habe Text nochmal korrigiert.
das wirst Du dann über Loopback übersteuern müssen.
Sofern Du den Proxy nicht per Script einträgst:
Computer und Benutzer müssen in verschiedene OUs. Am besten auch nicht untereinander verschachtelte OU.
Du musst eine GPO für den Computer erstellen und an die OU mit dem Computer hängen. Diese muss den Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.
Dann in der OU mit dem Computer eine weitere GPO für alle Benutzer erstellen, welche explizit keinen Proxy einstellt.
Wenn sich die Benutzer nun an diesen PC anmeldet, dann wirkt die neuen GPO und übersteuert die andere GPO mit den Proxy-Einstellungen.
Wenn er sich an einem anderen PC anmeldet, für welchen nicht die Loopback und Nicht-Proxy-GPO wirken, dann wirkt für ihn die "mormale" Proxy-GPO.
E.
Edit: habe Text nochmal korrigiert.
Moin,
da du im Eröffnungssatz bereits erwähnt hast, dass ein Proxyserver im Einsatz ist, kannst du diesen doch dazu nutzen um mit Hilfe von Firewallregeln/Gruppen bestimmten IPs den Zugang zum Internet zu verweigern...
Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Beste Grüße
da du im Eröffnungssatz bereits erwähnt hast, dass ein Proxyserver im Einsatz ist, kannst du diesen doch dazu nutzen um mit Hilfe von Firewallregeln/Gruppen bestimmten IPs den Zugang zum Internet zu verweigern...
Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Beste Grüße
Hi,
Mit einem Proxy eingetragen braucht man kein Gateway (du meinst hier sicher Router) für den Internetzugriff ...
E.
Zitat von @skahle85:
Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Anmerkung:Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Mit einem Proxy eingetragen braucht man kein Gateway (du meinst hier sicher Router) für den Internetzugriff ...
E.
Du musst eine GPO für den Computer erstellen und an die OU mit dem Computer hängen. Diese muss den
Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.
Ich habe jetzt in der Computer OU eine GPO welcher sagt, Benutzer = fiktiver Proxy. Loopback ist ebenfalls aktiv und steht auf ersetzen.Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.
Ebenfalls ist aktiviert -> Proxyeinstellungen pro Computer vornehmen
So war es bereits vorher wo es nicht geklappt hat
Moin,
ich mach das hier mit einer Deny Regel in der Firewall.
Gruß
Uwe
ich mach das hier mit einer Deny Regel in der Firewall.
Gruß
Uwe
Poste bitte mal die Ausgabe von "gpresult /r".
E.
E.
COMPUTEREINSTELLUNGEN
CN=ARCHIV,OU=NO Internet,OU=Intern,OU=Computer,OU=ALT,DC=alt,DC=asclepion,DC
=com
Zeit der letzten Gruppenrichtlinienanwendung: 27.10.2014 at 11:48:34
Gruppenrichtlinie wurde angewendet von: XXX.com
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - Adobe Flash Disable Update
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Standardmäßig wird in der default ALT der korrekte proxy für den User gesetzt.
CN=ARCHIV,OU=NO Internet,OU=Intern,OU=Computer,OU=ALT,DC=alt,DC=asclepion,DC
=com
Zeit der letzten Gruppenrichtlinienanwendung: 27.10.2014 at 11:48:34
Gruppenrichtlinie wurde angewendet von: XXX.com
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - Adobe Flash Disable Update
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Standardmäßig wird in der default ALT der korrekte proxy für den User gesetzt.
Zum gpresult:
Hier ist nichts zum Benutzer drin ...
Wenn pro Computer, dann darf im Gegenzug dem Benutzer kein Proxy mitgegeben werden. Ich denke das ist klar.
Und dann macht die Sache mit dem Loopback natürlich auch keinen Sinn. Nicht dafür.
Hast Du sichergestellt, dass für betreffende Computer die "Computer - NO Internet" gegenüber der "Default ALT Policy" gewinnt? Entweder durch die GPO-Rangfolge oder ggf. durch Erzwinger der GPOs.
E.
Hier ist nichts zum Benutzer drin ...
Ebenfalls ist aktiviert -> Proxyeinstellungen pro Computer vornehmen
Sorry, das hatte ich überlesen.Wenn pro Computer, dann darf im Gegenzug dem Benutzer kein Proxy mitgegeben werden. Ich denke das ist klar.
Und dann macht die Sache mit dem Loopback natürlich auch keinen Sinn. Nicht dafür.
Hast Du sichergestellt, dass für betreffende Computer die "Computer - NO Internet" gegenüber der "Default ALT Policy" gewinnt? Entweder durch die GPO-Rangfolge oder ggf. durch Erzwinger der GPOs.
E.
Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.
Einfach eine statische IP OHNE Default Gateway auf diesem Rechner konfigurieren und schon ists aus mit dem Internet !So einfach ist das !
(Na ja...jedenfalls so lange dort keiner mit einer CD oder USB Stick ein Live System bootet oder den PC von zuhause anschliesst und dann wieder Internet hat
)Um letzteres auch zu verhindern und es wirklich wasserdicht zu machen kannst du dann noch eine Port Security mit 802.1x aktivieren sofern deine LAN Switches das supporten:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sorry, der Rest war abgeschnitten.
COMPUTEREINSTELLUNGEN
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - Adobe Flash Disable Update
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
BENUTZEREINSTELLUNGEN
CN=XX_admin,OU=IT,OU=ALT,DC=alt,DC=XX,DC=com
Zeit der letzten Gruppenrichtlinienanwendung: 27.10.2014 at 13:18:23
Gruppenrichtlinie wurde angewendet von: hinkelstein.alt.asclepion.com
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Ich habe die GPO auf erzwungen gesetzt. Die "Default" ALT Policy" ist die Policy welche an zweiter Stelle in der Hierarchie steht. Die GPO No Internet habe ich auf Erzwungen gesetzt.
Die Änderung im Proxy wird weiterhin nicht übernommen.
*Edit: Die Lösung mit dem Gateway klappt. Danke ;)
COMPUTEREINSTELLUNGEN
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - Adobe Flash Disable Update
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
BENUTZEREINSTELLUNGEN
CN=XX_admin,OU=IT,OU=ALT,DC=alt,DC=XX,DC=com
Zeit der letzten Gruppenrichtlinienanwendung: 27.10.2014 at 13:18:23
Gruppenrichtlinie wurde angewendet von: hinkelstein.alt.asclepion.com
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Ich habe die GPO auf erzwungen gesetzt. Die "Default" ALT Policy" ist die Policy welche an zweiter Stelle in der Hierarchie steht. Die GPO No Internet habe ich auf Erzwungen gesetzt.
Die Änderung im Proxy wird weiterhin nicht übernommen.
*Edit: Die Lösung mit dem Gateway klappt. Danke ;)
