16
Windows 10 Client Internet sperren für einzelnen User
Hallo liebe alle,
stehe vor dem Problem, für einen Domain-User das Internet komplett sperren zu müssen, allerdings lokale LAN-Ressourcen im 192.168.0.0/16 - Netz weiterhin zur Verfügung stellen zu müssen.
Lässt sich dafür irgendwie eine GPOs basteln, damit der User
"DOM\UserDarfnichtinsInternet"
gesperrt ist, während der User
"DOM\UserDarfinsInternet"
sehr wohl auch ins Internet darf?
Client ist Windows 10, Domäne Server 2016
stehe vor dem Problem, für einen Domain-User das Internet komplett sperren zu müssen, allerdings lokale LAN-Ressourcen im 192.168.0.0/16 - Netz weiterhin zur Verfügung stellen zu müssen.
Lässt sich dafür irgendwie eine GPOs basteln, damit der User
"DOM\UserDarfnichtinsInternet"
gesperrt ist, während der User
"DOM\UserDarfinsInternet"
sehr wohl auch ins Internet darf?
Client ist Windows 10, Domäne Server 2016
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 538518
Url: https://administrator.de/contentid/538518
Printed on: April 18, 2024 at 10:04 o'clock
16 Comments
Latest comment
Hallo,
am besten mit einer Firewall/UTM, kann die Sophos SG aus eigener Erfahrung und Überzeugung empfehlen. Bei Bedarf, klopf gerne per PN an.
Viele Grüße,
Christian
certifiedit.net
am besten mit einer Firewall/UTM, kann die Sophos SG aus eigener Erfahrung und Überzeugung empfehlen. Bei Bedarf, klopf gerne per PN an.
Viele Grüße,
Christian
certifiedit.net
GPO's sind nicht der richtige Ort für dein Vorhaben, aber grundsätzlich könntest du per GPO die Windows Firewall Regeln anpassen und ggf, http/https in Richtung Extern verbieten. Denk aber daran die GPO auch wirklich nur auf die "kein Internet Gruppe" anzuwenden :-P
Sinnvoller und sauberer wäre das Vorhaben auf der Firewall. Per LDAP Anbindung kannst du deine Gruppen an entsprechende Policies binden.
Sinnvoller und sauberer wäre das Vorhaben auf der Firewall. Per LDAP Anbindung kannst du deine Gruppen an entsprechende Policies binden.
Schon die Windows-Firewall kennt Regeln pro User. Jedoch nicht per GPO-Sicherheitsfilterung, sondern mit den sogenannten "sicheren" Firewallregel, welche mit Authentifizierung (z.B. Kerberos) arbeiten. Du kannst mal hier reinschauen: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ... (gilt auch für aktuelle OS').
Oder eventuell der gute alte IdentDaemon: http://rndware.info/products/windows-ident-server.html
Oder eventuell der gute alte IdentDaemon: http://rndware.info/products/windows-ident-server.html
Geht auch per GPO und Sicherheitsgruppenfilter. In dieser GPO (für die entsprechende Gruppen/Benutzer) den Proxy auf 0.0.0.0 einstellen und Ausnahmen (Proxy-Umgehung) für lokale Adressen eintragen, "ändern der Proxy-Einstellungen verhindern" aktivieren nicht vergessen. Also, sofern ihr einen Proxy habt.
In dieser GPO (für die entsprechende Gruppen/Benutzer) den Proxy auf 0.0.0.0 einstellen...
Sofern der Browser sich darum schert...
...oder dem Rechner schlicht und einfach kein Default Gateway eintragen ! Funktioniert immer....
1Funktioniert immer....
...wäre aber nicht pro Benutzer, sondern für alle - mit allen Nebeneffekten.
Oder eben per 802.1x Radius Auth am LAN den entsprechenden User auf ein beschränktes VLAN mappen.
Das ist natürlich richtig...! Ist eben eine "Freitagslösung" 
@DerWoWusste
IE, Edge (warum sollten sie das nicht tun?) und Firefox ESR (mit Firefox-admx) sind kein Problem. Chrome weiß ich nicht.
IE, Edge (warum sollten sie das nicht tun?) und Firefox ESR (mit Firefox-admx) sind kein Problem. Chrome weiß ich nicht.
Firefox ESR (mit Firefox-admx) sind kein Problem
Ja, mit zusätzlicher Firefox GPO. Dann schon. Aber du willst nicht für jeden Browser eine eigene GPO setzen wollen, es gibt schließlich Dutzende.
Moin,
Nicht unbedingt. Nehmen wir mal an, wir sind im Netz 192.168.10.0/24
In der Aufgabenplanung, wenn sich ein nicht authorisierter User anmeldet:
Und beim Start des Rechners in der Aufgabenplanung:
<edit> Code korrigiert. Foreach-Object fehlte.
</edit>
Ungetestet, sollte aber gehen. Wenn es mehr als einen NIC mit der Netzadresse gibt, dann muss um das erste Skript noch eine kleine foreach-Schleife.
hth
Erik
Zitat von @DerWoWusste:
Funktioniert immer....
...wäre aber nicht pro Benutzer, sondern für alle - mit allen Nebeneffekten.Nicht unbedingt. Nehmen wir mal an, wir sind im Netz 192.168.10.0/24
In der Aufgabenplanung, wenn sich ein nicht authorisierter User anmeldet:
$interface = get-NetIPAddress | ?{$_.IPAddress -like "192.168.10.*"}
Set-NetIPInterface -InterfaceIndex $interface.InterfaceIndex -Dhcp Disabled
New-NetIPAddress -InterfaceIndex $interface.InterfaceIndex -IPAddress $interface.IPAdress -DefaultGateway 0.0.0.0 -PrefixLength 24Und beim Start des Rechners in der Aufgabenplanung:
<edit> Code korrigiert. Foreach-Object fehlte.
get-netadapter | %{set-NetIpInterface -interfaceindex $_.ifIndex -Dhcp enabled}Ungetestet, sollte aber gehen. Wenn es mehr als einen NIC mit der Netzadresse gibt, dann muss um das erste Skript noch eine kleine foreach-Schleife.
hth
Erik
Richtig, kann man machen.
Ja, und dann hast du Probleme mit Outlook oder doppelten Anmeldungen ("Benutzer wechseln"). Warum soll man Benutzer-Berechtigungsprobleme auf Netzwerkebene lösen...
Warum soll man Benutzer-Berechtigungsprobleme auf Netzwerkebene lösen...
Richtig, das ist immer eine schlechte Idee...
Hallo liebe alle,
vielen Dank für die Vorschläge. Ich werde das mal mit der Powershell versuchen und melde mich dann. Habe nur die nächsten Tage leider nicht die Zeit dazu.
LG
vielen Dank für die Vorschläge. Ich werde das mal mit der Powershell versuchen und melde mich dann. Habe nur die nächsten Tage leider nicht die Zeit dazu.
LG
