16
Windows 7 - Internetzugang sperren für bestimmte Benutzer oder Gruppen
Hallo,
wie kann ich unter Windows 7 Pro einem bestimmten Useraccount oder einer Gruppe per Gruppenrichtlinie den Zugang zum Internet verbieten?
Der Benutzer soll meinetwegen das Netzwerk gar nicht mehr benutzen dürfen.
Ich hätte gedacht das ist ein alltägliches und vielverlangtes Feature, aber im Netz bin ich nur bedingt fündig geworden, also ich vermisse oder suche einen ganz einfachen Schalter.
Schon einen falschen Proxy oder ein blindes Gateway einzutragen finde ich nicht so gradlinig. Und es soll ja nur bei einem bestimmten User, oder eben einer Gruppe gelten.
Danke, Gruß franc
wie kann ich unter Windows 7 Pro einem bestimmten Useraccount oder einer Gruppe per Gruppenrichtlinie den Zugang zum Internet verbieten?
Der Benutzer soll meinetwegen das Netzwerk gar nicht mehr benutzen dürfen.
Ich hätte gedacht das ist ein alltägliches und vielverlangtes Feature, aber im Netz bin ich nur bedingt fündig geworden, also ich vermisse oder suche einen ganz einfachen Schalter.
Schon einen falschen Proxy oder ein blindes Gateway einzutragen finde ich nicht so gradlinig. Und es soll ja nur bei einem bestimmten User, oder eben einer Gruppe gelten.
Danke, Gruß franc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148879
Url: https://administrator.de/contentid/148879
Printed on: April 25, 2024 at 17:04 o'clock
16 Comments
Latest comment
Ich würde es in der Verwaltung unter Lokale Sicherheitsrichtlinie probieren. Evtl. dort eine Regel einrichten, dass die Gruppe den Internet-Explorer nicht starten darf oder so ähnlich. Da ich das aber selbst noch nicht gemacht habe: Alle Einstellung, die du vornimmst, auf eigene Gefahr.
Hallo franc,
normalerweise hat man dafür einen Proxy, der wird fest eingetragen per GPO verhindert, dass der Benutzer diesen ändern kann. Im Proxy sind dann entsprechende Regeln hinterlegt, prominentes Beispiel als ProxyServer hierfür ist der Squid. Da diese Regeln zentral gesteuert werden, brauch man diese auch nur einmal Pflegen.
Ansonsten gibt es die Möglichkeit übe pac-Dateien dies für einzelne Rechner zu erledigen.
Grüße
normalerweise hat man dafür einen Proxy, der wird fest eingetragen per GPO verhindert, dass der Benutzer diesen ändern kann. Im Proxy sind dann entsprechende Regeln hinterlegt, prominentes Beispiel als ProxyServer hierfür ist der Squid. Da diese Regeln zentral gesteuert werden, brauch man diese auch nur einmal Pflegen.
Ansonsten gibt es die Möglichkeit übe pac-Dateien dies für einzelne Rechner zu erledigen.
Grüße
Ganz einfach:
Erstelle eine Benutzergruppe. Füge die Benutzer dieser Gruppe hinzu. Erstelle eine GPO, die nur von dieser Benutzergruppe angewendet wird (dass das geht, wissen die meisten nicht). Sperre die Einstellungen für Proxy.
Wenn aber deine Firewall mehr als den Proxy durchlässt - stimmt dein Konzept nicht.
Erstelle eine Benutzergruppe. Füge die Benutzer dieser Gruppe hinzu. Erstelle eine GPO, die nur von dieser Benutzergruppe angewendet wird (dass das geht, wissen die meisten nicht). Sperre die Einstellungen für Proxy.
Wenn aber deine Firewall mehr als den Proxy durchlässt - stimmt dein Konzept nicht.
Zitat von @48507:
Sperre die Einstellungen für Proxy.
Sperre die Einstellungen für Proxy.
Geht das auch ohne Proxy?
Nur noch mal eine Verständnisfrage: Geht es hier um einen einzelnen PC, z.B. einen privat-PC, oder um einen PC in einem Netzwerk bzw. sogar einer Win-Domäne?
Ja. Min. IE7-Adm oder Server 2008 vorausgesetzt.
Zitat von @48507:
Ja. Min. IE7-Adm oder Server 2008 vorausgesetzt.
Ja. Min. IE7-Adm oder Server 2008 vorausgesetzt.
Was ist IE7-Adm?
Zitat von @90857:
Geht es hier um einen einzelnen PC, z.B. einen privat-PC, oder um einen PC in einem
Netzwerk bzw. sogar einer Win-Domäne?
Geht es hier um einen einzelnen PC, z.B. einen privat-PC, oder um einen PC in einem
Netzwerk bzw. sogar einer Win-Domäne?
Einen PC im Netzwerk (bestehend aus Router und zwei XP-PC und einem W7 PC, eben dem zu regelndem).
Was hast du für eine Domäne? 2003? 2008? 2008 kennt den IE7, 2003 nicht, also muss die adm erst importiert werden:
http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...
Kannst auch gleich IE8 nehmen:
Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen): http://www.gruppenrichtlinien.de/adm/IE8admx.zip
http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...
Kannst auch gleich IE8 nehmen:
Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen): http://www.gruppenrichtlinien.de/adm/IE8admx.zip
Zitat von @48507:
Was hast du für eine Domäne? 2003? 2008? 2008 kennt den IE7, 2003 nicht, also muss die adm erst importiert werden:
http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...
Kannst auch gleich IE8 nehmen:
Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen):
http://www.gruppenrichtlinien.de/adm/IE8admx.zip
Was hast du für eine Domäne? 2003? 2008? 2008 kennt den IE7, 2003 nicht, also muss die adm erst importiert werden:
http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...
Kannst auch gleich IE8 nehmen:
Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen):
http://www.gruppenrichtlinien.de/adm/IE8admx.zip
Aus seinem Beitrag von oben schließe ich, dass es sich um keine Domäne handelt, hier muss die lokale Sicherheitsrichtlinie für eine bestimmte Gruppe konfiguriert werden. Oder der Router muss gesagt bekommen, dass die MAC-Adresse des Rechners keinen Zugriff auf das Internet erhält.
Ein Router ist für MAC-Adressen nicht zuständig, wenn, dann muss die (fest eingestellte) IP des Rechners geblockt werden, und hier braucht es schon eine Firewall.
Wenn es über lokale GPOs gehen soll, dann nur in dem Zweig Computerkonfiguration - dieser gilt dann aber systemweit.
Habe es selber noch nicht ausprobiert:
Führe gpedit.msc als Administrator aus.
Geh in den Zweig Benutzerkonfiguration.
Administrative Vorlagen - Windows Komponenten - Internet Explorer - Änderung der Proxyeinstellungen deaktivieren - "aktivieren".
Melde dich anschließend ab und dann den entsprechenden Benutzer an. Kann er die Änderung mit gpedit.msc wieder rückgängig machen? Wenn nicht - gut.
Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.
Wenn es über lokale GPOs gehen soll, dann nur in dem Zweig Computerkonfiguration - dieser gilt dann aber systemweit.
Habe es selber noch nicht ausprobiert:
Führe gpedit.msc als Administrator aus.
Geh in den Zweig Benutzerkonfiguration.
Administrative Vorlagen - Windows Komponenten - Internet Explorer - Änderung der Proxyeinstellungen deaktivieren - "aktivieren".
Melde dich anschließend ab und dann den entsprechenden Benutzer an. Kann er die Änderung mit gpedit.msc wieder rückgängig machen? Wenn nicht - gut.
Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.
Zitat von @48507:
Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.
Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.
Ja, sind vorhanden, nämlich Firefox und der ist für einen anderen Benutzer auf diesem Rechner im Einsatz.
Zitat von @90857:
Aus seinem Beitrag von oben schließe ich, dass es sich um keine Domäne handelt...
Aus seinem Beitrag von oben schließe ich, dass es sich um keine Domäne handelt...
Ja, es ist keine Domäne vorhanden.
... hier muss die lokale Sicherheitsrichtlinie für eine bestimmte Gruppe konfiguriert werden.
Aber wie?
Oder der Router muss gesagt bekommen, dass die MAC-Adresse des Rechners keinen Zugriff auf das Internet erhält.
Nein, das geht nicht, weil ein anderer Benutzer soll ja noch ins Netz kommen. So geht der Rechner ja dann gar nicht mehr ins Netz.
Hi.
Sag mal eben, was an einem blinden Gateway nicht geradlinig ist. Für mich ist das geradlinig, es sei denn, Ihr braucht das Gateway für andere Zwecke.
Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit einem geplanten Task, der bei Logon startet.
Sag mal eben, was an einem blinden Gateway nicht geradlinig ist. Für mich ist das geradlinig, es sei denn, Ihr braucht das Gateway für andere Zwecke.
Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit einem geplanten Task, der bei Logon startet.
Zitat von @DerWoWusste:
Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit
einem geplanten Task, der bei Logon startet.
Genau so habe ich das schon mal bei einem Rechner gemacht, mit netsh. Aber das mit dem Skript abhängig vom Nutzer ist eine gute Idee.Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit
einem geplanten Task, der bei Logon startet.
Kann aber der normale Nutzer das Gateway dann nicht selbst ändern? Kann man das dann irgendwo (?) per Richtlinie verbieten?
Nein, der geplante Task arbeitet mit Systemrechten, der User hat hingegen kein Recht dazu, das Gateway zu ändern.
Mach es so: Erstell ein (bei Bedarf Domänen-) Anmeldeskript (gateway.bat). Dieses wird im Kontext des Benutzers unsichtbar ausgeführt. Inhalt von gateway.bat:
Der netshsperrtask/netshentsperrtask sind dann Deine netsh-Skripte. Der Entsperrtask muss Ausführrechte für alle Nutzer bis auf den Sperrnutzer bieten. Der andere muss von allen ausführbar sein.
Damit
Mach es so: Erstell ein (bei Bedarf Domänen-) Anmeldeskript (gateway.bat). Dieses wird im Kontext des Benutzers unsichtbar ausgeführt. Inhalt von gateway.bat:
if %username%==Sperrnutzername goto sperren
schtasks /run /tn Netshentsperrtask
goto end
:sperren
schtasks /run /tn Netshsperrtask
:endDer netshsperrtask/netshentsperrtask sind dann Deine netsh-Skripte. Der Entsperrtask muss Ausführrechte für alle Nutzer bis auf den Sperrnutzer bieten. Der andere muss von allen ausführbar sein.
Damit
