8
Internetzugriff für Nicht-Domänen-Mitglieder sperren...
Hallo zusammen,
ich (oder vielmehr mein Chef) möchte in unserem Unternehmen den Internetzugriff für alle Computer sperren, die nicht Mitglieder der Domäne sind. Meine bisherigen Versuche sind daran gescheitert, dass es erstens durchaus Benutzer gibt, die nicht in der Domäne selbst angemeldet sind, sondern lokal, und trotzdem Zugriff benötigen und auch erhalten sollen und zweitens daran, dass es innerhalb des Netzwerks einige Geräte gibt, die zwar keine Domänenmitglieder sind und trotzdem innerhalb des Netzwerks volle Funktionsfähigkeit benötigen.
Hat jemand eine Idee, wie dieses Problem zu lösen ist. Wir haben eine Windows-Server-2003 Infrastruktur sowie einen ISA-Server 2006?
Vielen Dank im Voraus,
wonderknabe
ich (oder vielmehr mein Chef) möchte in unserem Unternehmen den Internetzugriff für alle Computer sperren, die nicht Mitglieder der Domäne sind. Meine bisherigen Versuche sind daran gescheitert, dass es erstens durchaus Benutzer gibt, die nicht in der Domäne selbst angemeldet sind, sondern lokal, und trotzdem Zugriff benötigen und auch erhalten sollen und zweitens daran, dass es innerhalb des Netzwerks einige Geräte gibt, die zwar keine Domänenmitglieder sind und trotzdem innerhalb des Netzwerks volle Funktionsfähigkeit benötigen.
Hat jemand eine Idee, wie dieses Problem zu lösen ist. Wir haben eine Windows-Server-2003 Infrastruktur sowie einen ISA-Server 2006?
Vielen Dank im Voraus,
wonderknabe
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 142726
Url: https://administrator.de/forum/internetzugriff-fuer-nicht-domaenen-mitglieder-sperren-142726.html
Ausgedruckt am: 10.04.2025 um 12:04 Uhr
8 Kommentare
Neuester Kommentar
Hi wonderknabe,
wie wärs mit Authentifizierung am Proxyserver? Der ISA bietet das doch an
wie wärs mit Authentifizierung am Proxyserver? Der ISA bietet das doch an
Hilft dir aber nichts, denn wenn man die Login-Daten hat kann man auch über den ISA als nicht Domain-Member.
Wie immer gilt:
Für kabelgebundene Netzwerke gibt es nur eine wirklich sichere Möglichkeit Nicht-Domain-Member auszusperren: Domain Isolation.
Wie immer gilt:
Für kabelgebundene Netzwerke gibt es nur eine wirklich sichere Möglichkeit Nicht-Domain-Member auszusperren: Domain Isolation.
Hi.
Man könnte es so lösen: einen Ident-Daemon nutzen, der die User-ID übermittelt und diesen nur Domänenmitgliedern zugänglich machen (z.B. Autostartobjekt, das auf identd auf einem Netzwerkpfad verweist, welcher nur Dom.-Mitgliedern zugänglich ist). Kenne leider den ISA nicht, SQUID kann das auswerten. Kommt keine User-ID, weil identd nicht läuft, dann auch kein Internetzugang.
Das würde natürlich umgehbar sein, wenn jemand dahinterkommt und sich einen portablen identd mitbringt und eine korrekte User-ID übermittelt (sich also mit einem lokalen Nutzer anmeldet, den es auch in der Domäne gibt - es wid nämlich nur der Name ausgewertet, nicht Name+Domäne).
Man könnte es so lösen: einen Ident-Daemon nutzen, der die User-ID übermittelt und diesen nur Domänenmitgliedern zugänglich machen (z.B. Autostartobjekt, das auf identd auf einem Netzwerkpfad verweist, welcher nur Dom.-Mitgliedern zugänglich ist). Kenne leider den ISA nicht, SQUID kann das auswerten. Kommt keine User-ID, weil identd nicht läuft, dann auch kein Internetzugang.
Das würde natürlich umgehbar sein, wenn jemand dahinterkommt und sich einen portablen identd mitbringt und eine korrekte User-ID übermittelt (sich also mit einem lokalen Nutzer anmeldet, den es auch in der Domäne gibt - es wid nämlich nur der Name ausgewertet, nicht Name+Domäne).
Bin gerade am überlegen, wie es laufen könnte, wenn man auf nem Squid die Basic-Auth abschaltet.
Beim Squid ist ja normal als erstes die NTLM-Auth eingetragen und direkt danach folgt die Basic-Auth mit der gleichen Quelle.
Ich weiß es nicht, aber vielleicht weiß DerWoWusste es: Wenn man jetzt die NTLM-Auth drinlässt und die Basic-Auth rauskegelt, fragt er dann trotzdem nach dem Passwort? Ich kann es gerade nicht testen, bin zu weit weg von meinem nächsten Squid.
Beim Squid ist ja normal als erstes die NTLM-Auth eingetragen und direkt danach folgt die Basic-Auth mit der gleichen Quelle.
Ich weiß es nicht, aber vielleicht weiß DerWoWusste es: Wenn man jetzt die NTLM-Auth drinlässt und die Basic-Auth rauskegelt, fragt er dann trotzdem nach dem Passwort? Ich kann es gerade nicht testen, bin zu weit weg von meinem nächsten Squid.
Ich weiß es nicht, aber vielleicht weiß DerWoWusste es: Wenn man jetzt die NTLM-Auth drinlässt und die Basic-Auth rauskegelt, fragt er dann trotzdem nach dem Passwort?
Unser ISA läuft NUR mit der NTLM-Auth und trotzdem fragt Firefox nach einem Passwort und kann sich anmelden...
Hallo zusammen,
vielen Dank für die zahlreichen Antworten. Da ich eigentlich nicht noch einen weiteren Proxy installieren möchte, werde ich es erstmal mit ISA Bordmitteln probieren, auch wenn die Proxylösung nicht wirklich das Szenario abdeckt, welches ich gerne hätte. Mal sehen, vllt. wird es reichen.
@dog: Bei Einrichtung einer Domain Isolation wäre dann aber der Zugriff für alle fremden Rechner auf das Netzwerk generell geblockt, oder?
vielen Dank für die zahlreichen Antworten. Da ich eigentlich nicht noch einen weiteren Proxy installieren möchte, werde ich es erstmal mit ISA Bordmitteln probieren, auch wenn die Proxylösung nicht wirklich das Szenario abdeckt, welches ich gerne hätte. Mal sehen, vllt. wird es reichen.
@dog: Bei Einrichtung einer Domain Isolation wäre dann aber der Zugriff für alle fremden Rechner auf das Netzwerk generell geblockt, oder?
@dog: Bei Einrichtung einer Domain Isolation wäre dann aber der Zugriff für alle fremden Rechner auf das Netzwerk generell geblockt, oder?
Nicht generell.
Da Domain Isolation auf IP-Level arbeitet könnte man auch Ausnahmen für IP-Bereiche und Subnets festlegen.
@tikayevent
Ich administrier den Squid nicht, müsste fragen.
Ich administrier den Squid nicht, müsste fragen.
