franc
Goto Top

Windows 7 - Internetzugang sperren für bestimmte Benutzer oder Gruppen

Hallo,

wie kann ich unter Windows 7 Pro einem bestimmten Useraccount oder einer Gruppe per Gruppenrichtlinie den Zugang zum Internet verbieten?
Der Benutzer soll meinetwegen das Netzwerk gar nicht mehr benutzen dürfen.

Ich hätte gedacht das ist ein alltägliches und vielverlangtes Feature, aber im Netz bin ich nur bedingt fündig geworden, also ich vermisse oder suche einen ganz einfachen Schalter.
Schon einen falschen Proxy oder ein blindes Gateway einzutragen finde ich nicht so gradlinig. Und es soll ja nur bei einem bestimmten User, oder eben einer Gruppe gelten.

Danke, Gruß franc

Content-Key: 148879

Url: https://administrator.de/contentid/148879

Printed on: May 19, 2024 at 04:05 o'clock

Mitglied: 90857
90857 Aug 12, 2010 at 15:10:09 (UTC)
Goto Top
Ich würde es in der Verwaltung unter Lokale Sicherheitsrichtlinie probieren. Evtl. dort eine Regel einrichten, dass die Gruppe den Internet-Explorer nicht starten darf oder so ähnlich. Da ich das aber selbst noch nicht gemacht habe: Alle Einstellung, die du vornimmst, auf eigene Gefahr.
Member: Connor1980
Connor1980 Aug 12, 2010 at 15:18:04 (UTC)
Goto Top
Hallo franc,

normalerweise hat man dafür einen Proxy, der wird fest eingetragen per GPO verhindert, dass der Benutzer diesen ändern kann. Im Proxy sind dann entsprechende Regeln hinterlegt, prominentes Beispiel als ProxyServer hierfür ist der Squid. Da diese Regeln zentral gesteuert werden, brauch man diese auch nur einmal Pflegen.
Ansonsten gibt es die Möglichkeit übe pac-Dateien dies für einzelne Rechner zu erledigen.

Grüße
Mitglied: 48507
48507 Aug 12, 2010 at 16:07:30 (UTC)
Goto Top
Ganz einfach:

Erstelle eine Benutzergruppe. Füge die Benutzer dieser Gruppe hinzu. Erstelle eine GPO, die nur von dieser Benutzergruppe angewendet wird (dass das geht, wissen die meisten nicht). Sperre die Einstellungen für Proxy.

Wenn aber deine Firewall mehr als den Proxy durchlässt - stimmt dein Konzept nicht.
Member: franc
franc Aug 12, 2010 at 20:56:15 (UTC)
Goto Top
Zitat von @48507:
Sperre die Einstellungen für Proxy.

Geht das auch ohne Proxy?
Mitglied: 90857
90857 Aug 13, 2010 at 07:38:41 (UTC)
Goto Top
Nur noch mal eine Verständnisfrage: Geht es hier um einen einzelnen PC, z.B. einen privat-PC, oder um einen PC in einem Netzwerk bzw. sogar einer Win-Domäne?
Mitglied: 48507
48507 Aug 13, 2010 at 07:43:07 (UTC)
Goto Top
Zitat von @franc:
> Zitat von @48507:
> Sperre die Einstellungen für Proxy.

Geht das auch ohne Proxy?

Ja. Min. IE7-Adm oder Server 2008 vorausgesetzt.
Member: franc
franc Aug 13, 2010 at 08:00:03 (UTC)
Goto Top
Zitat von @48507:
Ja. Min. IE7-Adm oder Server 2008 vorausgesetzt.

Was ist IE7-Adm?
Member: franc
franc Aug 13, 2010 at 08:04:29 (UTC)
Goto Top
Zitat von @90857:
Geht es hier um einen einzelnen PC, z.B. einen privat-PC, oder um einen PC in einem
Netzwerk bzw. sogar einer Win-Domäne?

Einen PC im Netzwerk (bestehend aus Router und zwei XP-PC und einem W7 PC, eben dem zu regelndem).
Mitglied: 48507
48507 Aug 13, 2010 at 08:43:46 (UTC)
Goto Top
Was hast du für eine Domäne? 2003? 2008? 2008 kennt den IE7, 2003 nicht, also muss die adm erst importiert werden:

http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...

Kannst auch gleich IE8 nehmen:

Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen): http://www.gruppenrichtlinien.de/adm/IE8admx.zip
Mitglied: 90857
90857 Aug 13, 2010 at 08:54:14 (UTC)
Goto Top
Zitat von @48507:
Was hast du für eine Domäne? 2003? 2008? 2008 kennt den IE7, 2003 nicht, also muss die adm erst importiert werden:

http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...

Kannst auch gleich IE8 nehmen:

Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen):
http://www.gruppenrichtlinien.de/adm/IE8admx.zip

Aus seinem Beitrag von oben schließe ich, dass es sich um keine Domäne handelt, hier muss die lokale Sicherheitsrichtlinie für eine bestimmte Gruppe konfiguriert werden. Oder der Router muss gesagt bekommen, dass die MAC-Adresse des Rechners keinen Zugriff auf das Internet erhält.
Mitglied: 48507
48507 Aug 13, 2010 at 09:50:32 (UTC)
Goto Top
Ein Router ist für MAC-Adressen nicht zuständig, wenn, dann muss die (fest eingestellte) IP des Rechners geblockt werden, und hier braucht es schon eine Firewall.

Wenn es über lokale GPOs gehen soll, dann nur in dem Zweig Computerkonfiguration - dieser gilt dann aber systemweit.

Habe es selber noch nicht ausprobiert:

Führe gpedit.msc als Administrator aus.
Geh in den Zweig Benutzerkonfiguration.
Administrative Vorlagen - Windows Komponenten - Internet Explorer - Änderung der Proxyeinstellungen deaktivieren - "aktivieren".

Melde dich anschließend ab und dann den entsprechenden Benutzer an. Kann er die Änderung mit gpedit.msc wieder rückgängig machen? Wenn nicht - gut.

Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.
Member: franc
franc Aug 13, 2010 at 10:50:47 (UTC)
Goto Top
Zitat von @48507:
Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.

Ja, sind vorhanden, nämlich Firefox und der ist für einen anderen Benutzer auf diesem Rechner im Einsatz.
Member: franc
franc Aug 13, 2010 at 10:52:40 (UTC)
Goto Top
Zitat von @90857:
Aus seinem Beitrag von oben schließe ich, dass es sich um keine Domäne handelt...

Ja, es ist keine Domäne vorhanden.

... hier muss die lokale Sicherheitsrichtlinie für eine bestimmte Gruppe konfiguriert werden.

Aber wie?

Oder der Router muss gesagt bekommen, dass die MAC-Adresse des Rechners keinen Zugriff auf das Internet erhält.

Nein, das geht nicht, weil ein anderer Benutzer soll ja noch ins Netz kommen. So geht der Rechner ja dann gar nicht mehr ins Netz.
Member: DerWoWusste
DerWoWusste Aug 13, 2010 at 13:44:30 (UTC)
Goto Top
Hi.

Sag mal eben, was an einem blinden Gateway nicht geradlinig ist. Für mich ist das geradlinig, es sei denn, Ihr braucht das Gateway für andere Zwecke.
Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit einem geplanten Task, der bei Logon startet.
Member: franc
franc Aug 13, 2010 at 14:15:33 (UTC)
Goto Top
Zitat von @DerWoWusste:
Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit
einem geplanten Task, der bei Logon startet.
Genau so habe ich das schon mal bei einem Rechner gemacht, mit netsh. Aber das mit dem Skript abhängig vom Nutzer ist eine gute Idee.
Kann aber der normale Nutzer das Gateway dann nicht selbst ändern? Kann man das dann irgendwo (?) per Richtlinie verbieten?
Member: DerWoWusste
DerWoWusste Aug 13, 2010 at 14:31:14 (UTC)
Goto Top
Nein, der geplante Task arbeitet mit Systemrechten, der User hat hingegen kein Recht dazu, das Gateway zu ändern.
Mach es so: Erstell ein (bei Bedarf Domänen-) Anmeldeskript (gateway.bat). Dieses wird im Kontext des Benutzers unsichtbar ausgeführt. Inhalt von gateway.bat:
if %username%==Sperrnutzername goto sperren
schtasks /run /tn Netshentsperrtask
goto end
:sperren
schtasks /run /tn Netshsperrtask
:end

Der netshsperrtask/netshentsperrtask sind dann Deine netsh-Skripte. Der Entsperrtask muss Ausführrechte für alle Nutzer bis auf den Sperrnutzer bieten. Der andere muss von allen ausführbar sein.
Damit