Windows Server 2003 Benutzer oder Gruppen vom Internet aussperren
Hallo zusammen...
habe folgendes Problem:
Netzwerk mit ca. 20 User. Router für Internet und DHCP.
Einige User sollen nicht ins Internet kommen.
War schon am überlegen im Router bestimmte IPs zu sperren, aber wenn mal ein anderer am Rechner dran muss bringt das auch nicht viel.
Kann ich Win2003 als eine art Proxy laufen lassen der mit den Benutzerregeln arbeitet oder gibt es andere Lösungsansätze?
MFG; Peter
habe folgendes Problem:
Netzwerk mit ca. 20 User. Router für Internet und DHCP.
Einige User sollen nicht ins Internet kommen.
War schon am überlegen im Router bestimmte IPs zu sperren, aber wenn mal ein anderer am Rechner dran muss bringt das auch nicht viel.
Kann ich Win2003 als eine art Proxy laufen lassen der mit den Benutzerregeln arbeitet oder gibt es andere Lösungsansätze?
MFG; Peter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 105155
Url: https://administrator.de/forum/windows-server-2003-benutzer-oder-gruppen-vom-internet-aussperren-105155.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
10 Kommentare
Neuester Kommentar
Userbasiertes Aussperren macht bei uns die Software SQUID auf Linux. Auf den Windows rechnern läuft dazu ein sogenannter IdentD-Dienst (Ident Daemon), der die Benutzerinfo samt IP übermittelt. Ohne Linux hab ich da zunächst keinen Tipp.
Warte, Du kannst natürlich Userbasiert den Gateway verbiegen, wenn das keine Nebenwirkungen (Routing benötigt) hat. Das könnte ein Loginscript erledigen, das mit netsh arbeitet. Dieses müsste jedoch mit hohen Rechten laufen. Letzteres ist möglich über runasspc, da werden hohe Rechte an Skripte übergeben, ohne dass das Kennwort sichtbar ist.
Warte, Du kannst natürlich Userbasiert den Gateway verbiegen, wenn das keine Nebenwirkungen (Routing benötigt) hat. Das könnte ein Loginscript erledigen, das mit netsh arbeitet. Dieses müsste jedoch mit hohen Rechten laufen. Letzteres ist möglich über runasspc, da werden hohe Rechte an Skripte übergeben, ohne dass das Kennwort sichtbar ist.
Hi,
entweder n Linux-GW (Debian und Squid) aufsetzen oder eben unter Windows Microsoft ISA 2006 einsetzen - kostet ein bisschen Geld.
Grüsse,
Dani
entweder n Linux-GW (Debian und Squid) aufsetzen oder eben unter Windows Microsoft ISA 2006 einsetzen - kostet ein bisschen Geld.
Warte, Du kannst natürlich Userbasiert den Gateway verbiegen, wenn das keine Nebenwirkungen (Routing benötigt) hat. Das könnte ein Loginscript erledigen, das mit netsh arbeitet.
Dieses müsste jedoch mit hohen Rechten laufen. Letzteres ist möglich über runasspc, da werden hohe Rechte an Skripte übergeben, ohne dass das Kennwort sichtbar ist.
Das kommt einer Hobbyadmintätigkeit gleich....das ist keine saubere Produktivlösung! Denn es wird der Tag kommen, wo du das verfluchst...Dieses müsste jedoch mit hohen Rechten laufen. Letzteres ist möglich über runasspc, da werden hohe Rechte an Skripte übergeben, ohne dass das Kennwort sichtbar ist.
Grüsse,
Dani
Dani, dass sind Funktionalitäten, die kollidieren, das ist richtig. Begründe nun bitte aber, was daran unsauber ist.
Das umzubiegen ohne DHCP auf den Rechnern abzuschalten ist evtl. auch möglich. Ich hab schon auf netsh verwiesen, dass kann die aktuelle IP-Konfiguration dumpen und auch anpassen. Denkbar wäre, ein Skript zu nehmen, das dumpt, die Dumpdatei anpasst und wieder einliest.
Das umzubiegen ohne DHCP auf den Rechnern abzuschalten ist evtl. auch möglich. Ich hab schon auf netsh verwiesen, dass kann die aktuelle IP-Konfiguration dumpen und auch anpassen. Denkbar wäre, ein Skript zu nehmen, das dumpt, die Dumpdatei anpasst und wieder einliest.
WArum hat der liebe Gott den Proxy erfunden. Aber für mich als Admin ist entscheidend:
In der Zeit wo das implementiert wird, setze ich vorher noch n Kaffe auf, installiere bequem und einfach den Proxy, hole mir zwischen durch 2-3 Tassen, konfiguiere den Proxy fertig. Das Ganze ist in 20-30 Minuten fertig. Und wie gesagt, man kann eben schnell was ändern ohne wieder in das Scripting einzulesen oder lange überlegen zu müssen.
Warum meinst du setzt man "normalerweißer" Proxyies in den Firmen ein - egal wie viele MA?! Außerdem hast du so auch die Möglichkeit, Downloads von bestimmen Files, Websites, etc... zu sperren, ohne die DNS - Umleitungsmethode was eigentlich auch n Pfusch ist. Es muss ja nicht gleich der ISA sein, aber es würde sich anbieten. Man kann sowas auch komplett mit Linux koppeln (AD - Squid) - geht einwandfrei. Man brauch eben die Zeit, aber das liegt am Admin und dem Controlling.
Aber gut, nicht jeder will den einfachen Weg gehn... :-P
Grüsse,
Dani
- Erstmal muss das Script her bzw. programmiert und getestet werden - denn im Produktivbetrieb sind Fehler schmerzhaft.
- Bei 20 Clients musst du genau wissen, bei welchen User das Skript angewandt werden muss und wo nicht, d.h. du brauchst eine Art Tabelle. Beispiel: Es gibt einen Rechner A, daran arbeitet User A und User B. User B soll Zugriff ins Internet haben, User A nicht. Sprich es muss jedes Mal das Script vor den Amelden aufgerufen werden.
- Das ist der ISt-Stand, bei sowas soll man aber auch in die Zukunft schauen - so wurde es mir beigebracht. Sprich soll nun ein kompletter Rechner nichts ins Internet kommen, musst du wieder rumstricken anfangen. ....
In der Zeit wo das implementiert wird, setze ich vorher noch n Kaffe auf, installiere bequem und einfach den Proxy, hole mir zwischen durch 2-3 Tassen, konfiguiere den Proxy fertig. Das Ganze ist in 20-30 Minuten fertig. Und wie gesagt, man kann eben schnell was ändern ohne wieder in das Scripting einzulesen oder lange überlegen zu müssen.
Warum meinst du setzt man "normalerweißer" Proxyies in den Firmen ein - egal wie viele MA?! Außerdem hast du so auch die Möglichkeit, Downloads von bestimmen Files, Websites, etc... zu sperren, ohne die DNS - Umleitungsmethode was eigentlich auch n Pfusch ist. Es muss ja nicht gleich der ISA sein, aber es würde sich anbieten. Man kann sowas auch komplett mit Linux koppeln (AD - Squid) - geht einwandfrei. Man brauch eben die Zeit, aber das liegt am Admin und dem Controlling.
Aber gut, nicht jeder will den einfachen Weg gehn... :-P
Grüsse,
Dani
Also als Moderator solltest Du nicht so reden, für meinen Geschmack war das von oben herab. Du kannst meinem ersten Posting entnehmen, dass wir selber Squid einsetzen. Hat man keinen Plan davon und will auch keinen ISA kaufen, dann schaut mancher nach anderen Lösungen, vielleicht ist das beim Eröffner der Fall, dessen Posting bleibt abzuwarten, bevor Du weiter eiferst. Von einer Zuordnung wie User A auf Rechner A ja, aber auf Rechner B nein, war bislang nicht die Rede - aber auch das wäre sehr einfach.
Ich setzt Dir das Skript bei seinen 20 Nutzern inklusive Doku in weniger als 30 Minuten um, mal vorausgesetzt, dass wenigstens eine Domäne am Start ist, jede Wette. Auch gerne mit Ausnahmen wie "auf diesem Rechner gar nicht" usw.
Aber wenn evtl. sowieso kein DHCP auf den Rechnern eingesetzt werden muss, ist das mit dem Gateway rausnehmen doch wirklich kein Akt und unsauber? Seh ich nicht ein.
Ich setzt Dir das Skript bei seinen 20 Nutzern inklusive Doku in weniger als 30 Minuten um, mal vorausgesetzt, dass wenigstens eine Domäne am Start ist, jede Wette. Auch gerne mit Ausnahmen wie "auf diesem Rechner gar nicht" usw.
Aber wenn evtl. sowieso kein DHCP auf den Rechnern eingesetzt werden muss, ist das mit dem Gateway rausnehmen doch wirklich kein Akt und unsauber? Seh ich nicht ein.
Als Eifer würde ich das bezeichnen...es ist die bittere Realität, wo mich zu sowas veranlasst. Wir haben in den letzten Monaten etliche Netze saniert (15 bis 100 MA), wo man einfach bis zum abwickeln kein Geld ausgeben wollte und keiner bereit war etwas dazu zu lernen - d.h. keiner weder Controlling noch Admin wollte beigeben. Das probiere ich zu verhindern, weil eben sowas ganz schnell zur Gewohnheit werden kann, nur das will ich aufzeigen mehr nicht - welche Lösung er nimmt ist schließlich seine Sache.
Grüsse,
Dani
Du kannst meinem ersten Posting entnehmen, dass wir selber Squid einsetzen
War nicht auf dich bezogen, sondern allgemein auf das Thema.Grüsse,
Dani
Am einfachsten wäre es das ganze als Gruppenrichtlinie einzurichten. Für die Kollegen die nicht ins Internet sollen einfach eine extra OU anlegen und dort einen nicht existenten Proxy in die IE Konfiguration eintragen. Die GPO auf kein Vorrang setzen und das Problem ist erledigt.
Für Firefox findest du unter http://www.frontmotion.com/FMFirefoxCE/features.htm eine angepasste Version mit ADM Template so das es dort auch funktioniert.
Vorteil der Lösung ist das diese userspezifisch ist an jedem PC an dem sie angemeldet sind zieht und man keine Änderungen am Proxy durchführen muss.
Für Firefox findest du unter http://www.frontmotion.com/FMFirefoxCE/features.htm eine angepasste Version mit ADM Template so das es dort auch funktioniert.
Vorteil der Lösung ist das diese userspezifisch ist an jedem PC an dem sie angemeldet sind zieht und man keine Änderungen am Proxy durchführen muss.