15
MS TMG Weboberfläche ?
Ich suche nach einer möglichkeit, einen TMG per Weboberfläche zu steuern.
Moinmoin, vorweg stelle ich mich erst mal vor. Ich bin derzeit Schüler an einer FOS in Braunschweig und möchte in meinem Schulprojekt einen Webproxy für die Schule aufsetzen. Ich selbst habe durchschnittliche Erfahrungen im Bereich Windows Server soweit es mir meine Ausbildung als ITSE hergibt. Linux ist - so gerne mir das mit Sicherheit welche ans Herz legen möchten - ein NOGO.
Okay nun weiter zu dem Projekt. Es soll also ein Proxyserver aufgesetzt werden, welcher ohne Probleme mit dem vorhandenen AD zurecht kommt und die User daraus zur Authentifizierung nimmt.. Der "Knackpunkt" ist derzeit ein Webinterface. Lehrkräften sollen mit diesem Webinterface einzelne Klassen, Räume und Hosts sperren können.
Derzeit läuft das System Test weise schon sehr gut. Test Benutzergruppen (Klassen, Räume) können im TMG freigegeben/gesperrt werden, Lehrkräfte sind allen Sperrungen erhaben, Webfilter funktionieren Problemlos.
Jetzt das eigentliche Problem : Wie kann man per Webinterface eben diese Benutzergruppen sperren? Hierbei sollte natürlich nur das Internet und nicht die ganze Gruppe gesperrt werden. Bevorzugt wäre eine Lösung die via dem DC sperrt.
Im Übrigen habe ich noch 3 Monate für das Projekt Zeit, also auch Zeitaufwendigere Aufgaben könnte ich ohne Zeitnot erlernen/bewältigen, allerdings brauche ich Ansätze hierfür.
mfg
Okay nun weiter zu dem Projekt. Es soll also ein Proxyserver aufgesetzt werden, welcher ohne Probleme mit dem vorhandenen AD zurecht kommt und die User daraus zur Authentifizierung nimmt.. Der "Knackpunkt" ist derzeit ein Webinterface. Lehrkräften sollen mit diesem Webinterface einzelne Klassen, Räume und Hosts sperren können.
Derzeit läuft das System Test weise schon sehr gut. Test Benutzergruppen (Klassen, Räume) können im TMG freigegeben/gesperrt werden, Lehrkräfte sind allen Sperrungen erhaben, Webfilter funktionieren Problemlos.
Jetzt das eigentliche Problem : Wie kann man per Webinterface eben diese Benutzergruppen sperren? Hierbei sollte natürlich nur das Internet und nicht die ganze Gruppe gesperrt werden. Bevorzugt wäre eine Lösung die via dem DC sperrt.
Im Übrigen habe ich noch 3 Monate für das Projekt Zeit, also auch Zeitaufwendigere Aufgaben könnte ich ohne Zeitnot erlernen/bewältigen, allerdings brauche ich Ansätze hierfür.
mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 160848
Url: https://administrator.de/contentid/160848
Printed on: April 19, 2024 at 12:04 o'clock
15 Comments
Latest comment
Zitat von @Neohkp:
Hierbei sollte natürlich nur das Internet und nicht die ganze Gruppe gesperrt werden.
Hierbei sollte natürlich nur das Internet und nicht die ganze Gruppe gesperrt werden.
Verstehe ich nicht. Meinst du bestimmten Gruppen den Internetzugang verwehren? Geht bestimmt über Policies. RTFM
Mal eine allgemeine Frage - jeder Lehrer kann sperren und unlocken nach belieben und das auf AD-Basis - finde ich mehr als Riskant - da hat ja keiner mehr die Kontrolle wer nun was darf und wer nicht und wenn du den TMG nimmst, denke auch an die Lizenzkosten, das ist mit rund 1.500 EUR noch nicht zu ende - jeder physikalische Client benötigt auch eine Lizenz, des weiteren die laufenden Kosten damit du die Software updaten kannst musste auch bedenken (Kostenrechnung im Projekt halt) - Und Lehrer (ohne das man Ihnen was böses will) - Hosts, Webseiten usw. sperren lassen geht mal garnicht - was willst denn machen wenn Lehrer A weil Lehrerin B kein Date wollte mal eben den gesamten Untericht versaut weil er mal eben alle seiten sperrt oder die HTTP Anfragen z.B. youp0xxx.xxx umleitet wer trägt dann die Verantwortung?
Ich würde mir da eher eine separate Lösung anschauen - wobei, besorge dir mal den ISA Client (2006) der funktioniert auch noch mit dem TMG2007 (2010 weis ich nicht) - da kannst das gesamte ein bischen feiner einstellen weil der Client sich mit Name, IP usw usw am TMG anmeldet
wer trägt dann die Verantwortung?Ich würde mir da eher eine separate Lösung anschauen - wobei, besorge dir mal den ISA Client (2006) der funktioniert auch noch mit dem TMG2007 (2010 weis ich nicht) - da kannst das gesamte ein bischen feiner einstellen weil der Client sich mit Name, IP usw usw am TMG anmeldet
Man Könnte schon jetzt im AD z.B. die Gruppe "Schüler" deaktivieren/sperren. Dann wäre zwar das Internet weg, aber auch die Anmeldung.
Google und Co. habe ich diesbezüglich schon befragt, sonst hätte ich nicht gefragt.
Google und Co. habe ich diesbezüglich schon befragt, sonst hätte ich nicht gefragt.
Derzeit wird eine abgewandelte Version ähnlich dem Surfblocker ( http://www.gslahr.og.bw.schule.de/ml/tools.html ) genutzt. Funktionieren tut das im Grunde ganz gut. Jeder Lehrer kann im Intranet auf http://surfblocker gehen und hat dort derzeit alle Computerräume der Schule gelistet.
Das mit dem ISA ist mein Plan B. Damit geht es ja Problemlos übers AD. Mit dem neusten TMG scheint das nicht sooo einfach zu seien und es sollten bevorzugt neuere Versionen eingesetzt werden. In diesem Fall halt der TMG 2010.
Achso, nicht vergessen, es handelt sich um ein Schulprojekt einer FOS Klasse.Allerdings müßte das System theoretisch lauffähig seien. Also wenn man eine Lösung findet die für 20 User gut funktioniert, sollte sie auch für 2500 User funktionieren. Okay, Sofern machbar : Neuste Software, Windows basiert, keine Raubkopien (Freeware/MSDN), Webinterface zur Verwaltung für Lehrkräfte, Nutzung des AD
Einige Sachen sind halt notwendig, wenn auch nur theoretisch. In das AD läßt sich die Schuldatenbank migrieren, das Webinterface soll auch dem Computerfeindlichsten Lehrer die Konfiguration ermöglichen und alles andere sind halt nicht abänderbare Umgebungen mit denen ich arbeiten muss -> nach Möglichkeit neuste Software zum Beispiel.
Hierbei erkunde ich natürlich auch weitere Möglichkeiten, was auch ein Teil des Projekts ist.
Bei weiteren Fragen und Anregungen einfach schreiben, bin für alles Dankbar was sich
Das mit dem ISA ist mein Plan B. Damit geht es ja Problemlos übers AD. Mit dem neusten TMG scheint das nicht sooo einfach zu seien und es sollten bevorzugt neuere Versionen eingesetzt werden. In diesem Fall halt der TMG 2010.
Achso, nicht vergessen, es handelt sich um ein Schulprojekt einer FOS Klasse.Allerdings müßte das System theoretisch lauffähig seien. Also wenn man eine Lösung findet die für 20 User gut funktioniert, sollte sie auch für 2500 User funktionieren. Okay, Sofern machbar : Neuste Software, Windows basiert, keine Raubkopien (Freeware/MSDN), Webinterface zur Verwaltung für Lehrkräfte, Nutzung des AD
Einige Sachen sind halt notwendig, wenn auch nur theoretisch. In das AD läßt sich die Schuldatenbank migrieren, das Webinterface soll auch dem Computerfeindlichsten Lehrer die Konfiguration ermöglichen und alles andere sind halt nicht abänderbare Umgebungen mit denen ich arbeiten muss -> nach Möglichkeit neuste Software zum Beispiel.
Hierbei erkunde ich natürlich auch weitere Möglichkeiten, was auch ein Teil des Projekts ist.
Bei weiteren Fragen und Anregungen einfach schreiben, bin für alles Dankbar was sich
ich würde mir dann als erstes das genaue Lizenzmodell anschauen für den TMG - ebenso die Folgekosten - nicht das es auf einmal Named-Based Licensing ist und du dann 2.500 Lizenzen kaufen muss - achte bei der Kostenermittlung darauf, dass es Schul-/Behörden Versionen sind, die sind meistens günstiger.
Das Webinterface was du da anstrebst, ist nicht im TMG integriert - ich denke sowas muss man programmieren (idealweise per ASP in Verbindung mit einem IIS) - das die "admin" Seite entsprechende "Befehle" an den TMG sendet.
Berechtigungsanpassungen per AD auf "die schnelle" würde ich eh vermeiden, ständiges Gruppenverschieben usw. ist nicht sinn und zweck davon da kannste dann besser unterschiedliche Gruppen am TMG einstellen und diese dann per Script bzw. der ASP Seite steuern, TMG 2010 solltest eigentlich auch komplett per Powershell steuern können was dir weitere Möglichkeiten öffnet ohne das du den Lehrer direkt an den Server lässt.
Edit/Add:
http://www.microsoft.com/learning/en/us/Book.aspx?ID=13148&locale=e ...
gint sogar Bücher dazu
Das Webinterface was du da anstrebst, ist nicht im TMG integriert - ich denke sowas muss man programmieren (idealweise per ASP in Verbindung mit einem IIS) - das die "admin" Seite entsprechende "Befehle" an den TMG sendet.
Berechtigungsanpassungen per AD auf "die schnelle" würde ich eh vermeiden, ständiges Gruppenverschieben usw. ist nicht sinn und zweck davon
da kannste dann besser unterschiedliche Gruppen am TMG einstellen und diese dann per Script bzw. der ASP Seite steuern, TMG 2010 solltest eigentlich auch komplett per Powershell steuern können was dir weitere Möglichkeiten öffnet ohne das du den Lehrer direkt an den Server lässt.Edit/Add:
http://www.microsoft.com/learning/en/us/Book.aspx?ID=13148&locale=e ...
gint sogar Bücher dazu
Zitat von @Neohkp:
Neuste Software, Windows basiert, keine Raubkopien (Freeware/MSDN), Webinterface zur
Verwaltung für Lehrkräfte, Nutzung des AD
Neuste Software, Windows basiert, keine Raubkopien (Freeware/MSDN), Webinterface zur
Verwaltung für Lehrkräfte, Nutzung des AD
Öhm, MSDN heißt nicht automatisch kostenlos, sondern zum Testen kostenlos (und dann noch limitiert, was die Anzahl der Lizenzen angeht). Oder gibt es für Schulen eine Sonderregelung? Oder meintest du: Keine Raubkopien, Freeware oder MSDN? Sorry
und das nächste ist - jetzt Server 2003 als Lizenzserver und dann 2k8 - da muss man die Server CALS auch neu erwerben (2.500 x ca 20 EUR Server CAL + Server á ~1.000 EUR + 1.500 EUR TMG / 6000 EUR als Enterprise) und dann der ganze Rattenschwanz hinterher - aber egal - sowas muss man halt auch bei einem solchen Projekt berücksichtigen - der TMG ist soweit ganz gut wie auch beschrieben wegen der integration des AD's - allerdings würde ich da keinen direkt drann rumspielen lassen sondern wenn, per eigenem Admin Interface wo die genau das machen können was dir vorschwebt: Klassenraum für Internet freischalten oder nicht
(2.500 x ca 20 EUR Server CAL + Server á ~1.000 EUR + 1.500 EUR TMG / 6000 EUR als Enterprise) und dann der ganze Rattenschwanz hinterher - aber egal - sowas muss man halt auch bei einem solchen Projekt berücksichtigen - der TMG ist soweit ganz gut wie auch beschrieben wegen der integration des AD's - allerdings würde ich da keinen direkt drann rumspielen lassen sondern wenn, per eigenem Admin Interface wo die genau das machen können was dir vorschwebt: Klassenraum für Internet freischalten oder nicht
Soderle, ich glaube das mit den Kosten ist hier noch nicht ganz klar, da noch viele Antworten darauf kommen.
Es handelt sich um ein Schulprojekt. Es ist eine Lehrveranstaltung. Ziel ist es, das oben beschrieben System theoretisch an die Gegebenheiten der Schule anzupassen. Die Kosten spielen höchstens in der Kalkulation der Projektdokumentation eine Rolle, ab da interessiert sich kein Mensch mehr dafür. Da die Rahmenbedingungen klar regeln, dass es sich um ein Windows System der neusten Generation handeln muss, ist somit die Wahl nahezu automatisch auf den TMG gefallen.
Alle von mir genannten Rahmenbedingungen sind ein muss. AD muss genutzt werden, da das AD aus der Schülerverwaltungssoftware die Benutzeraccounts automatisch generiert. Redundanzen sind natürlich unerwünscht. Für das Freigeben des Internets gibt es nur eine möglichkeit für die Lehrkräfte -> http://surfblocker . Auf dieser Seite müßen alle Einstellungen vorgenommen werden. Es gibt keinerlei alternativen hierzu. Nur der Weg um dieses Ziel zu erreichen ist Variabel, da ich in den 3 Monaten etwas lernen soll, ist es jetzt meine Aufgabe mich in dem Bereich schlau zu machen.
mfg
Es handelt sich um ein Schulprojekt. Es ist eine Lehrveranstaltung. Ziel ist es, das oben beschrieben System theoretisch an die Gegebenheiten der Schule anzupassen. Die Kosten spielen höchstens in der Kalkulation der Projektdokumentation eine Rolle, ab da interessiert sich kein Mensch mehr dafür. Da die Rahmenbedingungen klar regeln, dass es sich um ein Windows System der neusten Generation handeln muss, ist somit die Wahl nahezu automatisch auf den TMG gefallen.
Alle von mir genannten Rahmenbedingungen sind ein muss. AD muss genutzt werden, da das AD aus der Schülerverwaltungssoftware die Benutzeraccounts automatisch generiert. Redundanzen sind natürlich unerwünscht. Für das Freigeben des Internets gibt es nur eine möglichkeit für die Lehrkräfte -> http://surfblocker . Auf dieser Seite müßen alle Einstellungen vorgenommen werden. Es gibt keinerlei alternativen hierzu. Nur der Weg um dieses Ziel zu erreichen ist Variabel, da ich in den 3 Monaten etwas lernen soll, ist es jetzt meine Aufgabe mich in dem Bereich schlau zu machen.
mfg
wie bereits gesagt, der TMG kann das alles wunderbar - nur würde ich da keine User (auch Lehrer sind User) direkt rumfummeln lassen, wenn dann würde ich da ein einfaches Frontend für Programmieren das die entsprechenden Befehle an den TMG weiterleitet - wo dann das Lehrpersonal lediglich seinen Klassenraum fürs Internet freigeben kann - aber auf keinen Fall direkt auf dem TMG weil da kannst noch weitaus mehr Sachen einstellen wie das sperren des Internets
Zwischen Theorie und Praxis liegen Welten. Jedenfalls bist du noch lange nicht so weit. Das soll keine Beleidigung sein, sondern die naive Vorstellung von gewissen Leuten (du hast zu Hause einen PC, also kannst du alles!) darstellen.
Beispiel:
"Redundanzen sind natürlich unerwünscht"
Du kennst das Prinzip der AD-Replikation nicht.
"http://surfblocker "
Du kennst dich mit DNS nicht aus.
"Es gibt keinerlei alternativen hierzu. "
Klingt nach: Ich kenne bzw. meine Pauker kennen nur VW.
" Nur der Weg um dieses Ziel zu erreichen ist Variabel."
Seit wann ist der Windows-Weg variabel?
Beispiel:
"Redundanzen sind natürlich unerwünscht"
Du kennst das Prinzip der AD-Replikation nicht.
"http://surfblocker "
Du kennst dich mit DNS nicht aus.
"Es gibt keinerlei alternativen hierzu. "
Klingt nach: Ich kenne bzw. meine Pauker kennen nur VW.
" Nur der Weg um dieses Ziel zu erreichen ist Variabel."
Seit wann ist der Windows-Weg variabel?
Jetzt kann man ja auch mal die Kirche im Dorf lassen:
Redundanzen ? Mehrfachspeicherung von Daten in einer Datenbankhierarchie. Wäre hier bei einer Lösung der Fall -> Soll nicht passieren.
Wo liegt das Problem mit dem http://surfblocker im lokalen Netzwerk ? Wo fehlt mir die Kenntnis? Reden wir aneinander vorbei ? Das ganze ist überhaupt gar kein Problem so einzurichten (läuft im übrigen bereits so).
Alternativen gibt es, sobald der "Kunde" dir freie Hand gewährt. Ist hier leider nicht der Fall, also bleibt es bei den Rahmenbedingungen.
Variabel ? Das Oben genannte Problem zu lösen. http://surfblocker wird aufgerufen, Webseite erscheint für die Lehrkraft. Wieso ? Was macht die ? Worauf greift die zu ? Was passiert im Hintergrund ? Ist der Lehrkraft egal, hier die Variabilität.
Also bitte nochmal die Erklärung wo meine Wissenslücken seien sollen aus den oben genannten zusammenhängen. Hab bislang keine gefunden. Nur Kritik die ohne Wissen in den Raum geworfen wurde und meines Erachtens auch noch unberechtigt ist.
Redundanzen ? Mehrfachspeicherung von Daten in einer Datenbankhierarchie. Wäre hier bei einer Lösung der Fall -> Soll nicht passieren.
Wo liegt das Problem mit dem http://surfblocker im lokalen Netzwerk ? Wo fehlt mir die Kenntnis? Reden wir aneinander vorbei ? Das ganze ist überhaupt gar kein Problem so einzurichten (läuft im übrigen bereits so).
Alternativen gibt es, sobald der "Kunde" dir freie Hand gewährt. Ist hier leider nicht der Fall, also bleibt es bei den Rahmenbedingungen.
Variabel ? Das Oben genannte Problem zu lösen. http://surfblocker wird aufgerufen, Webseite erscheint für die Lehrkraft. Wieso ? Was macht die ? Worauf greift die zu ? Was passiert im Hintergrund ? Ist der Lehrkraft egal, hier die Variabilität.
Also bitte nochmal die Erklärung wo meine Wissenslücken seien sollen aus den oben genannten zusammenhängen. Hab bislang keine gefunden. Nur Kritik die ohne Wissen in den Raum geworfen wurde und meines Erachtens auch noch unberechtigt ist.
Hallo,
Mir ist aber ehrlich gesagt nicht klar, was du willst.
Der Internetzugang soll über TMG als Proxy erfolgen. Und der Lehrer kann sich auf einer Website anmelden, und dort sagen: "so, dieser Klassenraum darf jetzt in's Internet" bzw. "so, die sollen sich jetzt mal nicht durch Internet ablenken lassen, sondern mir zuhören". Oder auch "Die dürfen jetzt alles" oder "Die dürfen jetzt alles außer XYZ". Und der bereits vorhandene "Surfblocker" (was auch immer der alles macht) soll im Rahmen des Projekts durch o.g. Lösung abgelöst werden.
Richtig?
Was heißt dann aber
Gruß
Filipp
Jetzt kann man ja auch mal die Kirche im Dorf lassen:
Ich finde auch, einige hier tun sich mal wieder durch vollständig unproduktive "ich-weiß-alles-besser"-Beiträge hervor (zugegeben: mit sowas bin ich bestimmt auch schon aufgefallen). Könnte man sich auch sparen.Mir ist aber ehrlich gesagt nicht klar, was du willst.
Der Internetzugang soll über TMG als Proxy erfolgen. Und der Lehrer kann sich auf einer Website anmelden, und dort sagen: "so, dieser Klassenraum darf jetzt in's Internet" bzw. "so, die sollen sich jetzt mal nicht durch Internet ablenken lassen, sondern mir zuhören". Oder auch "Die dürfen jetzt alles" oder "Die dürfen jetzt alles außer XYZ". Und der bereits vorhandene "Surfblocker" (was auch immer der alles macht) soll im Rahmen des Projekts durch o.g. Lösung abgelöst werden.
Richtig?
Was heißt dann aber
Jetzt das eigentliche Problem : Wie kann man per Webinterface eben diese Benutzergruppen sperren? Hierbei sollte natürlich nur das Internet und nicht die ganze Gruppe gesperrt werden.
bzw es soll nicht "die ganze Gruppe" gesperrt werden? Welche Gruppe, und was soll für sie gesperrt werden?Gruß
Filipp
Jip. Internetzugang soll über den TMG als Proxy laufen. Derweil meldet sich eine Lehrkraft an einem beliebigen Rechner in der Schule mit seinem Login an. Da man auch bei Webseiten die Authentifikation über den Nutzer im IIS einstellen kann, können natürlich auf gewisse Seiten (wie http://surfblocker ) nur Lehrkräfte zugreifen, denn dort haben nur die Gruppe "Lehrer" Berechtigung. Oben hatte ich ja das Beispiel ( http://www.gslahr.og.bw.schule.de/ml/tools.html ) gezeigt. So sieht die Webseite dann in etwa aus, die eine Lehrkraft sieht. Ziel der Sperre ist natürlich den Schülern das Internet zu sperren um dem Unterricht zu folgen.
Und gesperrt ist das falsche Wort eher deaktiviert. Derzeit kann ich bei meiner Testkonfiguration nur über die TMG Verwaltung (nicht über ein Webinterface) die einzelnen Gruppen sperren -> Damit würde es klappen, aber halt kein Webinterface.
Ich könnte allerdings direkt im AD eine Benutzergruppe deaktivieren (man hat keine Konfiguration auf dem AD für den Proxy, hier meinte ich das sperren), dann geht auch über den TMG kein Internet mehr, aber kein Benutzer kann sich anmelden.
Zusammenfassend : Es sollten über ein Webinterface Gruppen einzeln gesperrt werden können z.B. Klassen/Räume
lg
Und gesperrt ist das falsche Wort eher deaktiviert. Derzeit kann ich bei meiner Testkonfiguration nur über die TMG Verwaltung (nicht über ein Webinterface) die einzelnen Gruppen sperren -> Damit würde es klappen, aber halt kein Webinterface.
Ich könnte allerdings direkt im AD eine Benutzergruppe deaktivieren (man hat keine Konfiguration auf dem AD für den Proxy, hier meinte ich das sperren), dann geht auch über den TMG kein Internet mehr, aber kein Benutzer kann sich anmelden.
Zusammenfassend : Es sollten über ein Webinterface Gruppen einzeln gesperrt werden können z.B. Klassen/Räume
lg
Hallo,
okay.
Wie hast du denn deine TMG-Regeln aufgebaut?
Was die Sache (für mich) etwas verkompliziert ist, dass du keine Nutzerkonten blocken/sperren/deaktivieren musst, sondern Computerkonten (oder gibt es bei euch für jeden Computer ein Nutzerkonto, dass dann von allen, die da dran irgendwann mal sitzen, genutzt wird?). Da bin ich mir gerade nicht sicher, ob sich die in AD-Security-Gruppen packen lassen (müsste aber), und ob TMG dann basierend auf denen Regeln anwenden kann. Das solltest du erstmal ausprobieren, da das Grundlage für eine Lösung über AD wäre (die du ja wolltest).
Wenn ja gibt es mehrere Ansätze.
Z.B.: Erstelle als oberste Regel ein "Deny all", die für alle Mitglieder der Gruppe "NoInternet" gilt. Erstelle für jeden Raum eine Gruppe, in der du die Computerkonten packst. Und wenn ein Raum gesperrt werden soll, packst du dessen Gruppe einfach in die "NoInternet"-Gruppe (wie man das über eine Website machen kann bekommen wir dann schon ausgeknobelt, schau aber erstmal, ob das Konzept mit Computerkonten in Gruppen mit TMG funktioniert). Das gleiche kann man natürlich auch andersherum machen: oben eine "Allow"-Regel für Gruppe Internet, da kommen dann die erlaubten Räume rein, die anderen "rutschen durch" bis zur Default Rule (Deny). Die erstgenannte Variante ist aber flexibler, wenn du dann auch für die erlaubten noch einzelne Seiten sperren willst.
Wenn das mit den Computerkonten nicht geht (was ich fast befürchte): Dann musst du mit Computer-Sets in TMG arbeiten (die lassen sich aber leider nicht über AD steuern). Für jeden Raum dann eine "Deny"-Regel anlegen, in der die Computer des Raumes aufgenommen werden. Und wenn ein Raum freigegeben werden soll musst du die Regel deaktivieren. Und wie das über eine Website geht? TMG lässt sich über WMI steuern, WMI wiederum kannst du in ASP.NET-Seiten verwenden. Wenn du nach "TMG WMI" suchst findest du z.B. http://www.isascripts.org/, da gibt es ein "ISA_Enable-Disable_Rule.vbs" das dir als Vorlage dienen kann.
Gruß
Filipp
okay.
Wie hast du denn deine TMG-Regeln aufgebaut?
Was die Sache (für mich) etwas verkompliziert ist, dass du keine Nutzerkonten blocken/sperren/deaktivieren musst, sondern Computerkonten (oder gibt es bei euch für jeden Computer ein Nutzerkonto, dass dann von allen, die da dran irgendwann mal sitzen, genutzt wird?). Da bin ich mir gerade nicht sicher, ob sich die in AD-Security-Gruppen packen lassen (müsste aber), und ob TMG dann basierend auf denen Regeln anwenden kann. Das solltest du erstmal ausprobieren, da das Grundlage für eine Lösung über AD wäre (die du ja wolltest).
Wenn ja gibt es mehrere Ansätze.
Z.B.: Erstelle als oberste Regel ein "Deny all", die für alle Mitglieder der Gruppe "NoInternet" gilt. Erstelle für jeden Raum eine Gruppe, in der du die Computerkonten packst. Und wenn ein Raum gesperrt werden soll, packst du dessen Gruppe einfach in die "NoInternet"-Gruppe (wie man das über eine Website machen kann bekommen wir dann schon ausgeknobelt, schau aber erstmal, ob das Konzept mit Computerkonten in Gruppen mit TMG funktioniert). Das gleiche kann man natürlich auch andersherum machen: oben eine "Allow"-Regel für Gruppe Internet, da kommen dann die erlaubten Räume rein, die anderen "rutschen durch" bis zur Default Rule (Deny). Die erstgenannte Variante ist aber flexibler, wenn du dann auch für die erlaubten noch einzelne Seiten sperren willst.
Wenn das mit den Computerkonten nicht geht (was ich fast befürchte): Dann musst du mit Computer-Sets in TMG arbeiten (die lassen sich aber leider nicht über AD steuern). Für jeden Raum dann eine "Deny"-Regel anlegen, in der die Computer des Raumes aufgenommen werden. Und wenn ein Raum freigegeben werden soll musst du die Regel deaktivieren. Und wie das über eine Website geht? TMG lässt sich über WMI steuern, WMI wiederum kannst du in ASP.NET-Seiten verwenden. Wenn du nach "TMG WMI" suchst findest du z.B. http://www.isascripts.org/, da gibt es ein "ISA_Enable-Disable_Rule.vbs" das dir als Vorlage dienen kann.
Derzeit läuft das System Test weise schon sehr gut. Test Benutzergruppen (Klassen, Räume) können im TMG
freigegeben/gesperrt werden, Lehrkräfte sind allen Sperrungen erhaben, Webfilter funktionieren Problemlos.
Okay, vergiß quasi alles, was ich geschrieben habe. Damit benötigst du nur noch das letztgenannte, nämlich Aktivieren und Deaktivieren von Regeln mittels WMI aus ASP.NET heraus.freigegeben/gesperrt werden, Lehrkräfte sind allen Sperrungen erhaben, Webfilter funktionieren Problemlos.
Gruß
Filipp
Moinmoin,
das Problem ist wohl so nicht direkt zu lösen. Wir haben uns jetzt überlegt, dass wir im TMG der AD Benutzergruppe "Internet_erlaubt" das Internet erlauben. Hoffentlich geht das einfacher. Trotzdem lieben dank für die vielen Hilfen =)
das Problem ist wohl so nicht direkt zu lösen. Wir haben uns jetzt überlegt, dass wir im TMG der AD Benutzergruppe "Internet_erlaubt" das Internet erlauben. Hoffentlich geht das einfacher. Trotzdem lieben dank für die vielen Hilfen =)
