graubart
Goto Top

Schulungsraum

Hallo,

wir haben einen Schulungsraum mit einem WIN2K Server und WINXP Pro Clients.

Wir haben in den Gruppenrichtlinien bestimmte Gruppen angelegt, um den Client zu starten und eine bestimmte Gruppe zu laden, mußte bis jetzt ein PW und ein BN angegeben werden. Nun besteht das Problem das sich bei wechselnden Schülern die PW und BN rumsprechen und dann mißbraucht werden. Unsere Idee wäre es die Clients über den Server mit der entsprechenden Richtlinie zu starten. Gibt es da eine Möglichkeit?

Wozu dient die GUID/UUID Nummer, wenn der PC per Netzwerkkarte gestartet wird zeigt er diese an und sucht auch beim Starten nach dem DHCP Server, aber wozu soll das gut sein?


Welche Möglichkeit habe ich in einem Schulungsnetz mit WIN2K Server und XPPro Clients bestimmte Internetaddressen auszuschließen?

Gruß und danke Graubart

Content-ID: 5938

Url: https://administrator.de/contentid/5938

Ausgedruckt am: 13.11.2024 um 10:11 Uhr

linkit
linkit 22.01.2005 um 15:15:41 Uhr
Goto Top
Einfacher wäre vielleicht folgende Lösung:


da dies ja ein Schulungsraum ist, der vermutlich nach einem STundenplan besetzt ist und die jeweiligen BN mit PW sich um bestimmte Zeiten und Tage anmelden, kann man dies unter Windows 2K daraufhin begrenzen.

Beispielsweise BN xxx mit PW yyy braucht seine Programme, Ordner, Verknüpfungen etc. immer am Mittwoch von 9:30 - 12:45 und am Freitag von 7:45 bis 8:30 Uhr, dann kann dies auf diesen zeitraum begrenzt werden.


Wenn nun einem anderen Schüler das ganze bekannt sein sollte, also BN xxx und PW yyy, dessen Stunde aber zu einem anderen Zeitpunkt ist, dann helfen im diesen Daten gar nicht, weil dann das Konto gesperrt ist.


Zur zweiten Frage gibt es Software von billig bis saumäßig teuer. Mit Standardmitteln unter Windows 2000 und XP fast nicht umsetzbar. sicherlich kann man mit dem Inhaltefilter, den Gruppenrichtlinien und Eintrageungen auf unsichere Seiten etwas machen, aber daraus wird kein befriedigendes Ergebnis.
leknilk0815
leknilk0815 22.01.2005 um 18:49:07 Uhr
Goto Top
wie wäre es, einen Proxy zu installieren?
graubart
graubart 22.01.2005 um 19:22:39 Uhr
Goto Top
Hallo,

das mit den begrenzten Zeitkonten ist sicherlich eine Idee die man überdenken kann,
Teilweise ist es aber so das die Schüler Tageweise und auch Wochenweise am PC sind.
Wir wollten es ja so haben das die Leute mit Benutzernamen und PW gar nichts zu tun haben. Das wenn sie sich an den PC setzen die Umgebung schon geladen ist, das wollten wir aber über den Server steuern um nicht an jeden PC rennen zu müssen und das PW und den BN einzugeben.

Gruß und Danke Graubart

Weiß denn keiner wozu die GUIDs gut sind und welche Vor und Nachteile das Starten über die Netzwerkkarte hat?
graubart
graubart 22.01.2005 um 19:29:44 Uhr
Goto Top
Hallo leknik,

was für einen Proxy sollte man dann nehmen und kann man den einfach auf den WIN2K Server mit raufinstallieren oder brauch man dazu einen extra PC? Gibt es da auch eine freie Version.

Gruß und Danke Graubart

Weiß denn keiner wozu die GUIDs gut sind und welche Vor und Nachteile das Starten über die Netzwerkkarte hat?
linkit
linkit 22.01.2005 um 20:39:02 Uhr
Goto Top
Ein Proxy an sich ist erstmal keine Filterinstanz, sondern ist zunächsteinmal eine zwischengeschaltene Station. Genaue Definition:

"Stellvertreter von lat. "proximus" = "Der Nä(c)hste") ist ein Computerprogramm, das im Datenverkehr zwischen Computern oder Computer-Programmen in so genannten Computernetzen zwischen angefragtem Server und anfragendem Client vermittelt. Dem Server gegenüber verhält sich das Programm wie ein Client, dem Client gegenüber wie ein Server. Strukturell/logisch liegt der Proxyserver zwischen anfragendem Client und dem angefragten Server, zu dem er vermittelt. Der strukturell Nächste ist hier aber nicht notwendigerweise auch der räumlich Nächste. Beispielsweise vermittelt ein Proxyserver einer Firma allen Datenverkehr der Computer der Mitarbeiter mit dem Internet."


So gibt es verschiedene Proxytypen und Arten. Beispielsweise gibt es hier Multiproxyprogramme die als Verschleierung der IP-Adresse dienen. Hierzu wird der Datenverkehr über anonyme Proxyserver im Internet geleitet.

Der ursprüngliche Sinn des Proxy war, daß in Netzwerken der Client nicht eine direkte Verbindung mit dem internet benötigt. Durch NAT (NetworkAdressTranslation) ist es möglich, daß ein verbundener Server mit dem Internet der für das Netzwerk als Proxy dient, die anfragenden Datenpakete von den Clients erhält und diese in das Internet weiterleitet. Die Antwort wird dem entsprechenden Client zurückgeschickt.

Diese Proxyserver haben sich in der Zeit immer weiterentwickelt. Beispielsweise wird heute ein Cache mit eingebaut, damit bereits abgefragte inhalte sofort zur Verfügung stehen und nicht bereits nochmals abgefragt werden müssen.

Technisch ausgereifte Proxyserver wie der ISA-Server von Microsoft besitzen darüberhinaus Firewallfunktionalität mit Port, IP und Paketfilter. Im Prinzip lassen sich auch mühsam Websites anhand der Adresse sperren, ein Contentfilter im eigentlichen Sinne fehlt aber dem ISA Server. Hier ist er auf Dritthersteller angewiesen.


Aus diesem Grund ist Proxyserver erstmal auch falsch.


Bekannte Proxyserver ist der eben genannte ISAserver, Jana-Server (http://www.janaserver.de/start.php?lang=de) für Bildungseinrichtungen kostenlos) oder aus dem Linuxlager Squid (http://www.squid-cache.org/)


Aus diesem Grund ist es auch wichtig, was du erreichen willst. Willst du beispielsweise nach bestimmten Schlagworten filtern, nach einer Blackliste vorgehen oder selbst Internetadressen eingeben, die nicht funktionieren sollen. Die Liste könnte weiter fortgesetzt werden. So gibt es hier Programme die Chat, Downloads etc herausfiltern oder alle Seiten mit aktiven inhalten blockieren.
Soll dies Serverseitig oder Clientseitig passieren.

Nach Schlagworten beispielsweise gibt es auch Qualitätsunterschiede bei den Programmen, denn wenn du beispielswiese das Wort Viagra sperrst, so bedeutet dies nicht automatisch die Sperrung des Inhaltes von Seiten mit vi@gr@ oder V*I*A*G*R*A.... ein ähnliches Problem haben Spamfilter.
leknilk0815
leknilk0815 22.01.2005 um 22:30:10 Uhr
Goto Top
Um die Frage zu beantworten, auf die bisher noch nicht eingegangen wurde:

GUID/UUID
Der Global Unique Identifier oder Universal Unique Identifier dient zur Identifikation
der Objekte und Schnittstellen. Es handelt sich hierbei um eine 128
Bit große Zahl, die weltweit eindeutig ist. Ihr Wertebereich reicht aus, um
w¨ahrend der n¨achsten 10.782.897.524.560.000.000 Jahre eine Billion GUID
pro Sekunde zu erzeugen [2].
CLSID/IID/LIBID
Module, Klassen und Schnittstellen brauchen jeweils eine eindeutige GUID.
In allgemeinen Sprachgebrauch wird die GUID f¨ur Klassen Class Identifier,
den f¨ur Module Library Identifier und den f¨ur Schnittstellen Interface Identifier
genannt.
Quelle: http://www.zaczek.net/Diplomarbeit/Diplomarbeit.pdf

Zitat:
Der GUID oder UUID ist eine eindeutige 32-stellige Nummer, die vom Hersteller des Computers bereitgestellt wird und im BIOS (Basic Input/Output System) des Computers gespeichert ist. Diese Nummer befindet sich auf dem Computergehäuse oder auf der Außenseite des Kartons, in dem der Computer versendet wurde. Wenn Sie die Nummer nicht finden können, führen Sie das BIOS-Konfigurationsdienstprogramm aus. Der GUID wird als Teil des System-BIOS gespeichert. Wenden Sie sich an Ihren OEM, um eine VBScript-Datei zu erhalten (die mit Visual Basic Scripting Edition erstellt wurde), die zum Vorbereiten neu erworbener Clients in Active Directory für die Verwendung in Verbindung mit der Betriebssystem-Remoteinstallation verwendet werden kann.


Quelle: http://support.microsoft.com/defaul...%3Bde%3BD298750

Zum Proxy habe ich eine andere Meinung, da zwar das Sperren einzelner Seiten nicht ohne Aufwand ist, andererseits die Spitzenreiter der Schüler leicht durch die vom Proxy erstellte Logdatei zu erkennen und zu sperren sind. Ausserdem hat W2K diesen onboard, man sollte in diesem Umfeld nicht, wie linkit dies wohl gerne tut, mit Kanonen auf Spatzen schießen, nur um ein paar Kids daran zu hindern, während dem Unterricht Schmuddelseiten zu besuchen.
Mit Grüßen aus dem Fettnäpfchen - Toni
graubart
graubart 23.01.2005 um 09:27:40 Uhr
Goto Top
Hallo linkit,

danke für deine Hilfe. Ich möchte nach Schlagworten filtern und auch bestimmte Adressen sperren. Der Proxy muß doch sicherlich auf einem extra PC oder?

Gruß graubart
graubart
graubart 23.01.2005 um 09:36:25 Uhr
Goto Top
Hallo leknik,

auch dir erstmal dankeschön.
O.K. das mit der GUID habe ich verstanden.
Aber welchen Vorteil bringt es den PC von der Netzwerkkarte starten zu lassen?

Zum Proxy, du sagst W2K hat diesen Onboard könntest du mir das mal näher erläutern?

Leider sind es bei uns nicht nur Kids sondern alle Altersgruppen, wir möchten an diesen Server noch 4 komplette PC Kabinette anschließen und diverse Einzel PCs und mit dem jetzigen Klassenraum ist das ein Test und wenn ich das so sehe sind manche 40jährige bei der Internetnutzung schlimmer als 16 jährige Kids. Aber so oder so, wir möchten einheitliche Regeln die für alle gelten wenn sie ins Netz bei uns gehen.


Gruß graubart
linkit
linkit 23.01.2005 um 10:02:48 Uhr
Goto Top
@leknik0815:


Also wenn du schon persönlich wirst.... "mit kanonen auf Spatzen schießen...", dann kann ich nur sagen, daß deine Antworten wie dein Name sind... 0815. Du hast in einem Satz dem Fragenden das Wort Proxyserver hingeworfen und das ist nun mal so nicht richtig, weil das Grundding nichts mit Schutz oder Filterung zu tun hat.
Wenn du Seite wie Janaserver anschaust, dann schreiben die ganz deutlich von einem Proxyserver, sagen aber auch, daß Filterung nicht möglich ist.

Wenn jemand nach einem Werkzeug für das herausziehen von Nägeln frägt, dann ist die Antwort Hammer auch falsch, auch wenn Zimmererhammer durch die Schlangenspitze vorne eine Möglichkeit hierfür vorsehen. Mit einem anderen Hammer, wie einem Maurerhammer geht es nicht.... um das ganze wieder auf eine sachliche Ebene zu bringen.

Darüberhinaus frägt graubart ganz klar nach einem Contentfilter und der Wahl nach bestimmten Adressen (siehe Beitrag weiter unten). Klar kannst du jetzt hier mit dem InternetExplorer und dessen Contentfilter kommen, die Frage ist immer, ob dieser hierfür nutzbar ist, da er nur sehr grobmotorisch eine Einstellung erlaubt.

Zum Wort Kiddies... gerade diese sollten nicht unterschätzt werden. Zwar bringen die meistens kaum tiefgründiges Fachwissen mit, aber sind diese schlau genug, im Internet nach geeigneten Mitteln zu suchen oder in Foren danach zu fragen. Und das wird nicht wehement so abgewehrt wie in diesem Forum. Gerade wenn Netze nicht wirklich wie eine Festung konfiguriert sind, gibt es genügend Einstiegsmöglichkeiten und umgehungen für die Sicherheit.


*
linkit
linkit 23.01.2005 um 10:16:02 Uhr
Goto Top
@graubart:


hier dir eine Software zu empfehlen ist schwierig. Natürlich ist erstmal alles kostenlos und mit hohem administrativen Aufwand zu kriegen und machbar. Das geht nicht nur unter Linux, sondern auch unter Windows.

Aber zum einen kenne ich deinen Wissenstand nicht und weiß auch nicht, wie tief du in der Materie der Administration drin bist, zum anderen wiederspreche hier leknik, da es zum einen nicht ganz so einfach zum machen ist und zum anderen auch deine Arbeitszeit Geld oder deine Freizeit kostet.

Auch ist so eine Software abhängig von der Netzbandbreite, ob feste externe IP verwendet werden oder wieviel User dran teilnehmen. Beispielsweise bietet AVM KEN recht gute Filterungsmöglichkeiten nach einer Blacklist, allerdings ist das System mit 15-20 Usern ausgereizt.

andere Filter findet man hier:

http://internet-filter-review.toptenreviews.com/?ttreng=1&ttrkey=in ...
http://www.bluecoat.com/german/ds_content_filtering_De.pdf


Deine zweite Frage bezog sich darauf, ob das auf den selben Server gezogen werden kann. Das hängt von vielen Faktoren ab. Ich persönlich vermeide es, alles und jedes Programm auf den Server zu schmeißen. Dies hält aber jeder Administrator anderst. Im Prinzip hängt hier auch viel von der Software ab, ob diese beispielsweise als Dienst läuft oder zum System kompatibel ist.


Eine relativ einfach zu erlenende Möglichkeit (auch wenn es auf Linux basiert) um das zu erreichen was du willst, ist IP-COP + squid Guard. Um das ganze zum testen reicht ein alter Computer, im zweifelsfall läuft nämlich IP-COP auch auf einer Diskette. IP-COP findest du auf der Seite http://www.ipcop.org/index.php. Dieses Programm ist erstmal ein Proxyserver und Firewall. Dokumentation und Download findest du ebenfalls auf der Seite. In Foren wird dir zu diesem Problem gerne geholfen - es gibt hierfür auch deutsche Foren.

Auf der Addonseite von IP-COP oder auf der Seite http://www.squidguard.org/ findest du das auch ins Deutsche übersetzte SquidGaurd mit dem das erreichen kannst, was du willst:


limit the web access for some users to a list of accepted/well known web servers and/or URLs only.
block access to some listed or blacklisted web servers and/or URLs for some users. )
block access to URLs matching a list of regular expressions or words for some users.
)
enforce the use of domainnames/prohibit the use of IP address in URLs. )
redirect blocked URLs to an "intelligent" CGI based info page.
)
redirect unregistered user to a registration form.
redirect popular downloads like Netscape, MSIE etc. to local copies.
redirect banners to an empty GIF. **)
have different access rules based on time of day, day of the week, date etc.
have different rules for different user groups.
and much more..
linkit
linkit 23.01.2005 um 10:17:36 Uhr
Goto Top
Darüberhinaus ist es auch möglich, mit dem ActiveDirectory und den Gruppenrichtlinien für den InternetExplorer den Inhaltefiler des Internetexplorers einzustellen. Dieser kann aber nicht selektiv sondern nur sehr grob eingestellt werden. Ich rate hiervon eher ab.
leknilk0815
leknilk0815 23.01.2005 um 10:22:39 Uhr
Goto Top
Hallo Graubart, die Möglichkeit, die WS über die Netzwerkkarte zu booten (WOL=Wake On Lan), dient vor allem administrativen Zwecken, da man so remote PC's starten und mit Updates etc. betanken kann, ohne einen Mann vor Ort zu schicken, und das ganze per Script ausserhalb der Geschäftszeiten (in großen Firmen mittlerweile Usus). Für euch wäre auf diese Weise z.B. denkbar, die PC's per Autologon mit einem bestimmten Account hochzufahren, somit wäre den Schülern das Passwort unbekannt und ein unerlaubtes Login ausgeschlossen. Per Gruppenrichtlinie (zeitgesteuert) ließe sich so auch ein Login ausserhalb der Schulzeit verhindern. Allerdings braucht man dann zu erlaubten Zeiten den PC nur einzuschalten, und man ist drin (ist aber bei "bekannten" Accounts auch der Fall). Die Autologon- Einstellungen lassen sich remote per Script in der Registry verändern, so daß relativ einfach die PC's für verschiedene Nutzer(-Gruppen) vorbereitet werden können. Über die genaue Ausführung muß man sicher noch nachdenken, aber als Denkansatz könnte man die Idee mal in Betracht ziehen.

Nun zum Thema Proxy: Da muß ich linkit wohl Abbitte leisten, denn da lag er mit seinen Kanonen wohl ziemlich richtig. Erst mal - der Proxy läuft natürlich auf dem Server und nicht auf einem PC (siehe Ausführungen von linkit). Eine Inhaltsfilterung ist damit aber wohl nicht machbar, da er für diesen Zweck nicht entwickelt wurde. Vielleicht gibt es ja beim Proxy den umgekehrten Weg, nämlich alle Seiten zu sperren und nur dedizierte Adressen freizugeben, diese Frage könnte sicher linkit beantworten, mit Proxys bin ich nicht besonders sattelfest.
So - mal sehen, was dabei rauskommt - Gruß - Toni
graubart
graubart 23.01.2005 um 12:50:34 Uhr
Goto Top
Hallo Ihr beiden,

recht schönen Dank für eure Hilfe ich werde das jetzt mal in Ruhe durcharbeiten und wenn ich Fragen habe melde ich mich nochmal.


Gruß graubart
graubart
graubart 24.01.2005 um 15:42:50 Uhr
Goto Top
Hallo,

in unserem Schulungsraum haben wir bei einem PC das Starten von der Netzwerkkarte eingestellt, beim Starten wird die GUID angezeigt, die Client IP, die Maske die DHCP IP und die Gateway IP, soweit denke ich mal muß das sein.
Im Server wurde ein PC angelgt, dem wurde der Name des Computers verpasst und als verwalteter Computer die GUID, die er beim Starten angezeigt hat. Den RI Server hat er auch erkannt.

Wenn ich nun auf diesen Client zugreifen kommt die Meldung "Vertrauensstellung zwischen Arbeitsstationen und Domäne konnte nicht hergestellt werden."
Domäne auf dem Client gelöscht und versucht anzumelden hier kommt die Fehlermeldung "Zugriff verweigert". Da habe ich bestimmt etwas übersehen?

Gruß graubart
leknilk0815
leknilk0815 24.01.2005 um 17:22:35 Uhr
Goto Top
Probiers mal hiermit (LanStart) - funktioniert normalerweise auf Anhieb (vorausgesetzt, die BIOS- Einstellungen am PC sind OK)
http://www.robbesworld.de/download/Wake%20on%20LAN%20unter%20Windows%20 ...
Lanstart runterladen, MAC- Adresse in Bat- Datei schreiben, ausführen, erledigt.
Gruß - Toni
graubart
graubart 24.01.2005 um 19:02:26 Uhr
Goto Top
Hallo

Danke Leknik

also gibt es für die Lösung meines oben dargestellten Problems nur dieses Zusatztool?
Sofern ich beim W2K Server einen neuen Computer als verwalteten PC mit GUID anlege kann ich mit dem Server nicht mehr auf den Clienten zugreifen und umgekehrt.
Fehlermeldung:
"Vertrauensstellung zwischen Arbeitsstationen und Domäne konnte nicht hergestellt werden."

Lösche ich den PC und legen ihn neu ohne GUID an dann funktioniert alles. Da muß doch ein Konfigurationsfehler meinerseits vorliegen oder?

gruß graubart
leknilk0815
leknilk0815 24.01.2005 um 20:15:50 Uhr
Goto Top
Es dürfte sich wohl um ein Rechteproblem handeln, allerdings kann ich Dir diesbezüglich keinen Tipp geben, da ich mit einer Konfiguration in diesem Bereich noch nichts zu tun hatte. Für meine Zwecke reicht das Tool in Verbindung mit einem kleinen Batch- Script völlig aus. Sorry, Gruß - Toni
teacherwilli
teacherwilli 07.02.2009 um 18:17:50 Uhr
Goto Top
Hallo,

zunächst ein Kommentar zu der Frage nach dem sperren bestimmter Internetadressen:
Unter www.schoolnettools.de gibt es ein Lehrertool für den Unterricht namens Stop'N'Go zum Freigeben und Sperren des Internetzuganges eines Unterrichtsraumes. Dabei wird ein Proxy benutzt, der auf dem Lehrer-PC mit Stop'N'Go installiert wird. Bei diesem Proxy kann man in einer Konfigurationsdatei zu sperrende IP-Adressen bzw. URLs eintragen oder auch Filter festlegen.

Zu der Problematik mit den Benutzerkonten für die Schüler, welche ganz oben einmal angesprochen wurde:
Man sollte sich immer einmal Gedanken machen, ob man in seiner Schule für alle Schüler ein eigenes Benutzerkonto überhaupt benötigt. I.d.R. reicht an Schulen eine platzorientierte Anmeldung. Vorteile: diese Benutzerkonten ändern sich NIE u. müssen damit auch nicht gepflegt werden (was eine Entlastung für den administrierenden Lehrer bringt!).
Auch wird es NIE Probleme bei den Schülern mit vergessenen Passwörtern geben, denn es gibt für die Platzkonten gar kein Kennwort! (Also nochmals eine enorme Entlastung für den Admin und vor allem die Lehrer!).
Doch wie erreicht man, dass trotzdem ein Schüler an seinem Platz immer wieder nur Zugriff auf seine eigenen Daten erhält? Lösung: mit dem Lehrertool FILETRANS unter www.schoolnettools. In diesem Tool ist übrigens zudem auch die Internetfreigabefunktion integriert, sodass man Stop'N'Go in diesem Falle nicht benötigen würde (aber die Filtermöglichkeiten sind die gleichen!).
Und wer dann noch so etwas wie eine lehrerfreundliche Software zur Bildschirmschaltung und Schülerüberwachung sucht, der sollte sich das Programm MONITORREMOTE ebenso unter www.schoolnettools ansehen.

Diese Tools sind übrigens auch ideal für PC-Kabinette !!! Sehr empfehlenswert!

Und immer daran denken: Lehrer sind zum Unterrichten da und nicht zum administrieren von Netzwerken (was leider zu oft verkannt wird und als Nebentätigkeit unterschätzt wird!).

Viele Grüße

teacherwilli