6
Dem Administrator bei lokaler Anmeldung an den Clients den Internetzugang verwehren
Server 2003-SP1-Domäne, Windows XP-SP2-Clients, Internetzugang über 'nen Router
Hallo!
In unserer Domänenkonfiguration wird jedem Clientrechner via DHCP die Standard-Gateway Adresse des Servers zugewiesen. Somit kann man bei Anmeldung an die Domäne auf das Internet zugreifen.
Zusätzlich kann man sich auch lokal an den Clients als Administrator anmelden.
Allerdings sollte dann kein Internetzugang zur Verfügung stehen. Trotzdem stellt der Server den Clients das Standardgateway zur Verfügung. Wie kann man das verhindern? Es soll also nur Internetzugang für Domänenmitglieder gewährt werden, oder anders formuliert: Nur bei Anmeldung an die Domäne soll man auf das Internet zugreifen können.
Ich habe es bereits mittels Konfiguration einer lokalen Gruppenrichtlinie versucht (unter Benutzkonfiguration->Administrative Vorlagen->System->Internetkommunikation gibt es ja diese Möglichkeit), scheinbar wird diese aber einfach überrannt...
Sorry für diese Newbie-Frage...
Vielen Dank
In unserer Domänenkonfiguration wird jedem Clientrechner via DHCP die Standard-Gateway Adresse des Servers zugewiesen. Somit kann man bei Anmeldung an die Domäne auf das Internet zugreifen.
Zusätzlich kann man sich auch lokal an den Clients als Administrator anmelden.
Allerdings sollte dann kein Internetzugang zur Verfügung stehen. Trotzdem stellt der Server den Clients das Standardgateway zur Verfügung. Wie kann man das verhindern? Es soll also nur Internetzugang für Domänenmitglieder gewährt werden, oder anders formuliert: Nur bei Anmeldung an die Domäne soll man auf das Internet zugreifen können.
Ich habe es bereits mittels Konfiguration einer lokalen Gruppenrichtlinie versucht (unter Benutzkonfiguration->Administrative Vorlagen->System->Internetkommunikation gibt es ja diese Möglichkeit), scheinbar wird diese aber einfach überrannt...
Sorry für diese Newbie-Frage...
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 28143
Url: https://administrator.de/contentid/28143
Printed on: April 16, 2024 at 08:04 o'clock
6 Comments
Latest comment
Zuerst einmal ein bischen Know-How verbreiten:
Der lokale Admin ist nicht Teil der Domaene und somit gehen ihn Usersettings mittels GPO nichts an und werden auch nicht benutzt.
Mir ist keine Moeglichkeit bekannt das Netzwerk auf Userebene zu konfigurieren. Netzwerk ist immer Computerebene. Somit kannst du es hoechstens fuer alle abstellen.
Zurueck zu deinem Problem.
Wenn du ahnungslose Admins hast, kannst du ein ein Script scheiben, welches im Autostart vom Admin steht und das Netzwerk abschaltet. Aber da der Admin eben Admin auf dem Rechner ist, kannst du nicht verhindern, dass er es wieder einschaltet.
Der lokale Admin ist nicht Teil der Domaene und somit gehen ihn Usersettings mittels GPO nichts an und werden auch nicht benutzt.
Mir ist keine Moeglichkeit bekannt das Netzwerk auf Userebene zu konfigurieren. Netzwerk ist immer Computerebene. Somit kannst du es hoechstens fuer alle abstellen.
Zurueck zu deinem Problem.
Wenn du ahnungslose Admins hast, kannst du ein ein Script scheiben, welches im Autostart vom Admin steht und das Netzwerk abschaltet. Aber da der Admin eben Admin auf dem Rechner ist, kannst du nicht verhindern, dass er es wieder einschaltet.
Wenn ich die LAN-Verbindung deaktiviere (bzw. die Netzwerkkarte mittels devcon komplett deaktiviere), kann ich ja auch nicht mehr auf den Netzwerkdrucker zugreifen.
Diese Methode gefällt mir nicht so gut.
Warum wird denn die lokale Gruppenrichtlinie (die für alles gelten soll, was sich lokal anmeldet) nicht anerkannt?
Diese Methode gefällt mir nicht so gut.
Warum wird denn die lokale Gruppenrichtlinie (die für alles gelten soll, was sich lokal anmeldet) nicht anerkannt?
Nur mal angenommen sie wuerde anerkannt. Dann kann der lokale Admin einfach hingehen und sie wieder zuruecksetzen und schon ist alles wieder frei.
Das wäre dann aber mutwillig und daher nicht standardmäßig vorgesehen. Es soll ja damit auch nur verhindert werden, dass man "aus Versehen" mit Admin-Rechten surft oder sich irgendwelche Malware breitmachen kann. Die "normalen Domänen-Benutzer" haben ja das Recht, auf's Internet zuzugreifen, daher bräuchten sie sich das nicht als Administrator zu holen.
Dann loesche einfach per Logon Script das default Gateway.
Schon bleibt alles innerhalb deines Subnetzes.
Stichwort: netsh
Schon bleibt alles innerhalb deines Subnetzes.
Stichwort: netsh
Habe jetzt ein lokales Skript bei Anmeldung des Benutzers, dass auf den Benutzernamen hin überprüft und ggf. per "netsh" den DHCP-IP-Bezug auf statisch setzt, um so das Standardgateway löschen zu können. Bei Abmeldung des Benutzers wird der IP-Bezug wieder via Skript auf "dynamisch" gestellt.
Bei dynamischen IP-Adressen lässt sich via "netsh" leider das Standardgateway nicht löschen.
Vielen Dank für die Hilfe!!
Bei dynamischen IP-Adressen lässt sich via "netsh" leider das Standardgateway nicht löschen.
Vielen Dank für die Hilfe!!