[Schallf]

Hallo,

wir benutzten auf der Arbeit Windows Server 2003 worüber sich alle anmelden. Soweit so gut, kann man unter den Benutzereinstellungen Leuten den zugang zum Internet sperren? Sozusagen das der IE nicht mehr rausconnecten kann oder muss ich den Gateway von hand löschen? Das wäre aber nicht so gut da andere Benutzer am PC surfen dürfen sollen. Oder wird mit jedem Benutzter auch ein eigenes IE Profil angemeldet wo dann der Gateway gelöscht werden kann.

Kurzum: Die Person soll nicht mehr in Internet. Wie stelle ich das am besten an?

[Saalpi]

das kannst du in den server einstellungen unter Active Directory einstellen, in den OU`s den Nutzerrichtlienen. Da kannst du einstellen was die einzelnen Gruppen in jeder OU dürfen oder auch nicht.

Schaust Du hier!!!

Dieser Beitrag wurde von Saalpi bearbeitet: 06. Mai 2005 - 09:13

[Kenny]

 Zitat (Saalpi: 06.05.2005, 09:00)

das kannst du in den server einstellungen unter Active Directory einstellen, in den OU`s den Nutzerrichtlienen. Da kannst du einstellen was die einzelnen Gruppen in jeder OU dürfen oder auch nicht.

Schaust Du hier!!!

wo und wie geht das genau? hab hier nen rechner mit 4 benutzern. online gehts über nen router (gateway 192.168.1.254)

kann ich irgendwie für die benutzer einfach nur den gateway ändern und die selber nix an der lan-verbindung ändern lassen? das wäre am besten, dann hätten die zugriff aufs lan aber kämen nicht online

[Rika]

Wenn du nur den IE (und auf wininet-Settings basierende Anwendungen) wegsperren möchtest, reicht es, die Proxy-Einstellungen auf 127.0.0.1:9 und per-machine-only-Konfigurierbarkeit festzunageln.

[Kenny]

dann wär ich vor viren sicher^^ ne die sollen überhaupt nit online kommen und die erklärung bitte etwas genauer. wie man in gpedit reinkommt weiß ich, aber weiter komm ich da auch nit, wenns überhaupt der richtige weg is

[puppet]

Wieso verwendet ihr nicht einen Proxy mit Benutzerauthentifizierung (z.B. Squid was ja auch keine Probleme mit RADIUS, LDAP und NTDS/MSDS/AD Auth hat) und zwingt per netfilter am Gateway alles über diesen raus?
Wobei sich unter Windows als schwierig erweisen dürfte.

[Kenny]

gibt es da nix einfaches? es geht nur darum, dass die kinder nicht unbeaufsichtigt online kommen, muss nicht hochtechnisch realisiert werden, die sind 10 und 12.

[puppet]

Hast du nicht ein haufen von diesen Linksys WRT54G(S) Dingern bei dir rum stehen?
Haben die nicht auch eine Benutzerauthentifizierung für die Internetzugangskontrolle?

Ansonsten kannst du das auch einfach mit An- und Abmeldeskripten für die Accounts mit Internetzugang regeln, jedenfalls wenn die Nutzer mit Internetzugang Admin-Rechte haben (bzw das Recht an der TCP/IP Konfig Änderungen durchzuführen) und die Kinder nicht.
Einfach bei den Admins ein Anmeldeskript machen was z.B. per netsh den Gateway und DNS Einträgt und als Anmeldeskript eben eins was Gateway und DNS aus der TCP/IP Konfig wieder entfernt. Somit hast du immer im abgemeldeten Zustand keine gültige Gateway und DNS Konfig und ohne Admin Rechte kannst du daran ja auch nichts ändern. Wenn sich dann also die unpriviligierten User anmelden haben sie keinen Internetzugang, es sei denn bei dir steht irgendwo ein normaler HTTP Proxy rum.
Wobei eine Lösung am direkt Gateway natürlich um einiges besser wäre.

[Kenny]

 Zitat (puppet: 06.11.2005, 20:53)

Hast du nicht ein haufen von diesen Linksys WRT54G(S) Dingern bei dir rum stehen?
Haben die nicht auch eine Benutzerauthentifizierung für die Internetzugangskontrolle?

jo die hab ich aber mittlerweile nur noch fürs WLAN und ein lancom regelt das ganze inet nun. das läuft und das lass ich auch so und da mit Benutzerauthentifizierung würde zu viele leute betreffen hier im dorf...

 Zitat (puppet: 06.11.2005, 20:53)

Ansonsten kannst du das auch einfach mit An- und Abmeldeskripten für die Accounts mit Internetzugang regeln, jedenfalls wenn die Nutzer mit Internetzugang Admin-Rechte haben (bzw das Recht an der TCP/IP Konfig Änderungen durchzuführen) und die Kinder nicht.
Einfach bei den Admins ein Anmeldeskript machen was z.B. per netsh den Gateway und DNS Einträgt und als Anmeldeskript eben eins was Gateway und DNS aus der TCP/IP Konfig wieder entfernt. Somit hast du immer im abgemeldeten Zustand keine gültige Gateway und DNS Konfig und ohne Admin Rechte kannst du daran ja auch nichts ändern. Wenn sich dann also die unpriviligierten User anmelden haben sie keinen Internetzugang, es sei denn bei dir steht irgendwo ein normaler HTTP Proxy rum.
Wobei eine Lösung am direkt Gateway natürlich um einiges besser wäre.

genau sowas mit den skripten such ich. nur wie sehen die aus und wo genau muss ich die eintragen?
wenn du mir das erklären könntest wäre nett.
gateway ist die 192.168.1.254

[puppet]

Naja das ist kein Problem. Die Skripts einfach unter C:\WINDOWS\System32\GroupPolicy\User\Scripts in die entsprechenden Ordner werfen.

Nehmen wir an die IP des Clients ist 192.168.1.26/24 und die Verbindung heißt "LAN-Verbindung".
Diese beiden Befehle setzen die IP Adresse auf 192.168.1.26, entfernen den Eintrag für den Standardgateway und leeren die Liste der DNS Server:

Zitat

netsh interface ip set address "LAN-Verbindung" static 192.168.1.26 255.255.255.0 none
netsh interface ip set dns "LAN-Verbindung" static none

Mit folgenden Befehlen wird die IP auf 192.168.1.26 gesetzt, der Default Gateway auf 192.168.1.254/24 mit einer Metrik von 1 eingestellt sowie 192.168.1.254 als primärer DNS Server registiert:

Zitat

netsh interface ip set address "LAN-Verbindung" static 192.168.1.26 255.255.255.0 192.168.1.254 1
netsh interface ip set dns "LAN-Verbindung" static 192.168.1.254

Vorher solltest du natürlich das übliche @echo off schreiben und bei den Befehlen STDOUT und STDERR nach NUL umleiten (>NUL STDERR>NUL hinter die Befehle).

Ach ja mit netsh interface ip add dns "LAN-Verbindung" X.X.X.X kannst du weitere Server zur DNS-Server Liste hinzufügen.

Dieser Beitrag wurde von puppet bearbeitet: 06. November 2005 - 21:35

[Kenny]

 Zitat (puppet: 06.11.2005, 21:26)

Vorher solltest du natürlich das übliche @echo off schreiben und bei den Befehlen STDOUT und STDERR nach NUL umleiten (>NUL STDERR>NUL hinter die Befehle).

was genau is das mit dem NUL und die scripte sind das einfache batchdateien oder is das noch was anderes?
das @echo off hab ich doch schonmal bei batchdateien gesehen.

ansonsten war das ne antwort, wie ich sie mir vorstelle. das werd ich morgen abend dann mal probiern

[puppet]

Ja einfach in eine Textdatei schreiben und mit der Endung .cmd oder .bat in den entsprechenden Ordnern speichern.

Und die Umleitung dient dazu, die Ausgaben und Fehlerausgaben zu unterdrücken (bzw an das Null-Device umzuleiten). Das @echo off verhindert, dass die Befehle angezeigt werden.

Edit: Ach ja, kein AD - von daher: bevor ich es vergesse und du dich wunderst warum es nicht funktioniert, du musst vorher in der Group Policy (GPEdit.msc) die entsprchenden Skripte zuweisen: GPO Editor -> Benutzerkonfig -> Windows-Einstellungen -> Skripts (Anmelden/Abmelden)
Dies musst du für jeden User individuell machen.
Du kannst auch diese Registry-Einträge importieren (den Namen des Scriptes, hier script.cmd, musst du dann eben anpassen - sowohl für Logon als auch Logoff Skript).
Du kannst das natürlich auch als Admin machen und die Einträge einfach direkt in die entsprechenden Unterschlüssel von HKEY_USERS rein werfen.

Dieser Beitrag wurde von puppet bearbeitet: 06. November 2005 - 22:55

[Kenny]

super, das hat nach einigen anlaufschwierigkeiten gefunzt!
das ">NUL STDERR>NUL" muss unter statt "hinter die Befehle", das war etwas missverständlich, aber nun klappt alles thx