Windows Server 2003 - Benutzer Internet Sperren?
#1
geschrieben 06. Mai 2005 - 08:39
wir benutzten auf der Arbeit Windows Server 2003 worüber sich alle anmelden. Soweit so gut, kann man unter den Benutzereinstellungen Leuten den zugang zum Internet sperren? Sozusagen das der IE nicht mehr rausconnecten kann oder muss ich den Gateway von hand löschen? Das wäre aber nicht so gut da andere Benutzer am PC surfen dürfen sollen. Oder wird mit jedem Benutzter auch ein eigenes IE Profil angemeldet wo dann der Gateway gelöscht werden kann.
Kurzum: Die Person soll nicht mehr in Internet. Wie stelle ich das am besten an?
Anzeige
#2
geschrieben 06. Mai 2005 - 09:00
Schaust Du hier!!!
Dieser Beitrag wurde von Saalpi bearbeitet: 06. Mai 2005 - 09:13
#3
geschrieben 06. November 2005 - 17:14
Zitat (Saalpi: 06.05.2005, 09:00)
Schaust Du hier!!!
wo und wie geht das genau? hab hier nen rechner mit 4 benutzern. online gehts über nen router (gateway 192.168.1.254)
kann ich irgendwie für die benutzer einfach nur den gateway ändern und die selber nix an der lan-verbindung ändern lassen? das wäre am besten, dann hätten die zugriff aufs lan aber kämen nicht online
#4
geschrieben 06. November 2005 - 19:21
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#5
geschrieben 06. November 2005 - 20:19
#6
geschrieben 06. November 2005 - 20:32
Wobei sich unter Windows als schwierig erweisen dürfte.
#7
geschrieben 06. November 2005 - 20:34
#8
geschrieben 06. November 2005 - 20:53
Haben die nicht auch eine Benutzerauthentifizierung für die Internetzugangskontrolle?
Ansonsten kannst du das auch einfach mit An- und Abmeldeskripten für die Accounts mit Internetzugang regeln, jedenfalls wenn die Nutzer mit Internetzugang Admin-Rechte haben (bzw das Recht an der TCP/IP Konfig Änderungen durchzuführen) und die Kinder nicht.
Einfach bei den Admins ein Anmeldeskript machen was z.B. per netsh den Gateway und DNS Einträgt und als Anmeldeskript eben eins was Gateway und DNS aus der TCP/IP Konfig wieder entfernt. Somit hast du immer im abgemeldeten Zustand keine gültige Gateway und DNS Konfig und ohne Admin Rechte kannst du daran ja auch nichts ändern. Wenn sich dann also die unpriviligierten User anmelden haben sie keinen Internetzugang, es sei denn bei dir steht irgendwo ein normaler HTTP Proxy rum.
Wobei eine Lösung am direkt Gateway natürlich um einiges besser wäre.
#9
geschrieben 06. November 2005 - 21:05
Zitat (puppet: 06.11.2005, 20:53)
Haben die nicht auch eine Benutzerauthentifizierung für die Internetzugangskontrolle?
jo die hab ich aber mittlerweile nur noch fürs WLAN und ein lancom regelt das ganze inet nun. das läuft und das lass ich auch so und da mit Benutzerauthentifizierung würde zu viele leute betreffen hier im dorf...
Zitat (puppet: 06.11.2005, 20:53)
Einfach bei den Admins ein Anmeldeskript machen was z.B. per netsh den Gateway und DNS Einträgt und als Anmeldeskript eben eins was Gateway und DNS aus der TCP/IP Konfig wieder entfernt. Somit hast du immer im abgemeldeten Zustand keine gültige Gateway und DNS Konfig und ohne Admin Rechte kannst du daran ja auch nichts ändern. Wenn sich dann also die unpriviligierten User anmelden haben sie keinen Internetzugang, es sei denn bei dir steht irgendwo ein normaler HTTP Proxy rum.
Wobei eine Lösung am direkt Gateway natürlich um einiges besser wäre.
genau sowas mit den skripten such ich. nur wie sehen die aus und wo genau muss ich die eintragen?
wenn du mir das erklären könntest wäre nett.
gateway ist die 192.168.1.254
#10
geschrieben 06. November 2005 - 21:26
Nehmen wir an die IP des Clients ist 192.168.1.26/24 und die Verbindung heißt "LAN-Verbindung".
Diese beiden Befehle setzen die IP Adresse auf 192.168.1.26, entfernen den Eintrag für den Standardgateway und leeren die Liste der DNS Server:
Zitat
netsh interface ip set dns "LAN-Verbindung" static none
Mit folgenden Befehlen wird die IP auf 192.168.1.26 gesetzt, der Default Gateway auf 192.168.1.254/24 mit einer Metrik von 1 eingestellt sowie 192.168.1.254 als primärer DNS Server registiert:
Zitat
netsh interface ip set dns "LAN-Verbindung" static 192.168.1.254
Vorher solltest du natürlich das übliche @echo off schreiben und bei den Befehlen STDOUT und STDERR nach NUL umleiten (>NUL STDERR>NUL hinter die Befehle).
Ach ja mit netsh interface ip add dns "LAN-Verbindung" X.X.X.X kannst du weitere Server zur DNS-Server Liste hinzufügen.
Dieser Beitrag wurde von puppet bearbeitet: 06. November 2005 - 21:35
#11
geschrieben 06. November 2005 - 21:33
Zitat (puppet: 06.11.2005, 21:26)
was genau is das mit dem NUL und die scripte sind das einfache batchdateien oder is das noch was anderes?
das @echo off hab ich doch schonmal bei batchdateien gesehen.
ansonsten war das ne antwort, wie ich sie mir vorstelle. das werd ich morgen abend dann mal probiern
#12
geschrieben 06. November 2005 - 21:39
Und die Umleitung dient dazu, die Ausgaben und Fehlerausgaben zu unterdrücken (bzw an das Null-Device umzuleiten). Das @echo off verhindert, dass die Befehle angezeigt werden.
Edit: Ach ja, kein AD - von daher: bevor ich es vergesse und du dich wunderst warum es nicht funktioniert, du musst vorher in der Group Policy (GPEdit.msc) die entsprchenden Skripte zuweisen: GPO Editor -> Benutzerkonfig -> Windows-Einstellungen -> Skripts (Anmelden/Abmelden)
Dies musst du für jeden User individuell machen.
Du kannst auch diese Registry-Einträge importieren (den Namen des Scriptes, hier script.cmd, musst du dann eben anpassen - sowohl für Logon als auch Logoff Skript).
Du kannst das natürlich auch als Admin machen und die Einträge einfach direkt in die entsprechenden Unterschlüssel von HKEY_USERS rein werfen.
Dieser Beitrag wurde von puppet bearbeitet: 06. November 2005 - 22:55
#13
geschrieben 07. November 2005 - 18:09
das ">NUL STDERR>NUL" muss unter statt "hinter die Befehle", das war etwas missverständlich, aber nun klappt alles thx