10
Internetzugang für bestimmte User unter Windows2000 sperren
Hallo,
also das Thema wurde sicher schonmal besprochen, hab aber nichts wirklich hilfreiches gefunden.
Folgendes Problem:
1 PC mit verschiedenen Usern.
7-8 User mit Internet-Zugriff
2 ohne
Wir haben DSL, das über nen Router läuft und auf dem Rechner läuft Windows 2000.
Wie kann ich den 2 Usern den Internet-Zugriff sperren?
Wir haben dafür bis jetzt Norton Internet Security benutzt, aber die machen den Rechner enorm langsam.
Unter Gruppenrichtlinien hab ich nichts gefunden...
also das Thema wurde sicher schonmal besprochen, hab aber nichts wirklich hilfreiches gefunden.
Folgendes Problem:
1 PC mit verschiedenen Usern.
7-8 User mit Internet-Zugriff
2 ohne
Wir haben DSL, das über nen Router läuft und auf dem Rechner läuft Windows 2000.
Wie kann ich den 2 Usern den Internet-Zugriff sperren?
Wir haben dafür bis jetzt Norton Internet Security benutzt, aber die machen den Rechner enorm langsam.
Unter Gruppenrichtlinien hab ich nichts gefunden...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6663
Url: https://administrator.de/contentid/6663
Printed on: April 19, 2024 at 09:04 o'clock
10 Comments
Latest comment
Das hängt natürlich immer davon ab, wie gut oder schlecht Deine User über Netzwerprotokolle Bescheid wissen und welche Rechte sie lokal haben... Simpel aber effizient:
Ich würde ein Script schreiben, das dem jeweiligen User mit Internetverbot ins HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Run gestellt wird, er auf diesen Bereich des Regedit Schlüssels keine Schreibrechte bekommt und das Script selbst von den NTFS berechtigungen auf nur Lesen,Ausführen für diesen Benutzer gesetzt wird.
Das Script sollte so aussehen, daß Du einfach das Gateway aus der Netzwerkverbindung rausnimmst oder so änderst, daß es falsch ist.
Beispiel:
Dein PC hat eine vom Router zugewiesene dynamische IP Adresse von 192.168.0.100, der Router ist das Gatway und hat die IP Adresse 192.168.0.254
Script für Dummy:
netsh interface ip set address "LAN-Verbindung" static 192.168.0.100 255.255.255.0 192.168.0.250
Script für Internetberechtigte
netsh interface ip set address "LAN-Verbindung" dhcp
bzw. wenn die IP Adresse des Computers statisch ist, die Syntax wie oben benutzen.
Damit solltest Du die Sperre lösen können, ohne den Rechner zu verlangsamen.
Hope this helps
A.
Ich würde ein Script schreiben, das dem jeweiligen User mit Internetverbot ins HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Run gestellt wird, er auf diesen Bereich des Regedit Schlüssels keine Schreibrechte bekommt und das Script selbst von den NTFS berechtigungen auf nur Lesen,Ausführen für diesen Benutzer gesetzt wird.
Das Script sollte so aussehen, daß Du einfach das Gateway aus der Netzwerkverbindung rausnimmst oder so änderst, daß es falsch ist.
Beispiel:
Dein PC hat eine vom Router zugewiesene dynamische IP Adresse von 192.168.0.100, der Router ist das Gatway und hat die IP Adresse 192.168.0.254
Script für Dummy:
netsh interface ip set address "LAN-Verbindung" static 192.168.0.100 255.255.255.0 192.168.0.250
Script für Internetberechtigte
netsh interface ip set address "LAN-Verbindung" dhcp
bzw. wenn die IP Adresse des Computers statisch ist, die Syntax wie oben benutzen.
Damit solltest Du die Sperre lösen können, ohne den Rechner zu verlangsamen.
Hope this helps
A.
Hi,
vielen Dank schonmal für deine Hilfe.
Ich habe leider wenig Ahnung von Scripten, das ist ein Pc
bei uns auf der Arbeit um den ich mich kümmern muss.
Aber grade so Windows 2000 und Benutzerverwaltung
ist nicht grade meine Stärke.
Kannst du mir etwas genauer beschreiben wie das aussehen muss,
das wäre super.
Als was muss ich das Script dann speichern??
Ein Bekannter hat mir folgenden Tip gegeben:
Gib dem User, den du sperren willst Admin-Rechte(nur vorübergehend).
Dann gib bei Ausführen "gpedit.msc" ein.(Gruppenrichtlinien)
Ändere hier unter Benutzerkonfiguration, das was du willst.
Dann beende die Gruppenrichtlinien, die Registry wird aktualisiert.
Nun der Trick: Lösche die Datei c:\windows\system32\GroupPolicy\User\Registry.pol
und zwar bevor du dich abmeldest. Somit sind die Änderungen nur bei diesem
User aktiv. Wenn du die Datei nicht löscht, gilt sie für alle User.
Bei Dokumente und Einstellungen\Username wird eine Datei erstellt sie heisst NTUSER.DAT
(Attribute System und versteckt und schreibgeschützt). Username ist der User, der gerade
eingeloggt ist. Jedesmal wenn du also Gruppenrichtlinen unter Benutzerkonfiguration änderst, werden 2 dateien erstellt, die die Änderungen enthalten.NTUSER.DAT gilt nur
für 1 User Registry.pol gilt für alle. Deshalb nach allen Änerungen in Gruppenrichtlinen
die Datei Registry.pol löschen.
Anschließend abmelden und als Admin anmelden, dann dem User die AdminRechte entziehen.
Steig da leider nicht ganz durch, ist das sinnvoll??
MfG
vielen Dank schonmal für deine Hilfe.
Ich habe leider wenig Ahnung von Scripten, das ist ein Pc
bei uns auf der Arbeit um den ich mich kümmern muss.
Aber grade so Windows 2000 und Benutzerverwaltung
ist nicht grade meine Stärke.
Kannst du mir etwas genauer beschreiben wie das aussehen muss,
das wäre super.
Als was muss ich das Script dann speichern??
Ein Bekannter hat mir folgenden Tip gegeben:
Gib dem User, den du sperren willst Admin-Rechte(nur vorübergehend).
Dann gib bei Ausführen "gpedit.msc" ein.(Gruppenrichtlinien)
Ändere hier unter Benutzerkonfiguration, das was du willst.
Dann beende die Gruppenrichtlinien, die Registry wird aktualisiert.
Nun der Trick: Lösche die Datei c:\windows\system32\GroupPolicy\User\Registry.pol
und zwar bevor du dich abmeldest. Somit sind die Änderungen nur bei diesem
User aktiv. Wenn du die Datei nicht löscht, gilt sie für alle User.
Bei Dokumente und Einstellungen\Username wird eine Datei erstellt sie heisst NTUSER.DAT
(Attribute System und versteckt und schreibgeschützt). Username ist der User, der gerade
eingeloggt ist. Jedesmal wenn du also Gruppenrichtlinen unter Benutzerkonfiguration änderst, werden 2 dateien erstellt, die die Änderungen enthalten.NTUSER.DAT gilt nur
für 1 User Registry.pol gilt für alle. Deshalb nach allen Änerungen in Gruppenrichtlinen
die Datei Registry.pol löschen.
Anschließend abmelden und als Admin anmelden, dann dem User die AdminRechte entziehen.
Steig da leider nicht ganz durch, ist das sinnvoll??
MfG
Du kannst über eine Group Policy nicht das Internet deaktivieren!
a) Steigt jeder Benutzer mit einer eigenen Kennung ein?
b) gibt es im Netzwerk auch einen Server + Domäne oder nur diesen einen PC?
c) welche IP Adresse/Gateway hat dein PC (Start-Ausführen-CMD IPConfig /all)
d) sind die Benutzer auch lokale Administratoren? (Systemsteuerung-Benutzerkonten-Gruppen-Administratoren, wer steht da drin?)
a) Steigt jeder Benutzer mit einer eigenen Kennung ein?
b) gibt es im Netzwerk auch einen Server + Domäne oder nur diesen einen PC?
c) welche IP Adresse/Gateway hat dein PC (Start-Ausführen-CMD IPConfig /all)
d) sind die Benutzer auch lokale Administratoren? (Systemsteuerung-Benutzerkonten-Gruppen-Administratoren, wer steht da drin?)
Du kannst über eine Group Policy nicht
das Internet deaktivieren!
a) Steigt jeder Benutzer mit einer eigenen
Kennung ein?
b) gibt es im Netzwerk auch einen Server +
Domäne oder nur diesen einen PC?
c) welche IP Adresse/Gateway hat dein PC
(Start-Ausführen-CMD IPConfig /all)
d) sind die Benutzer auch lokale
Administratoren?
(Systemsteuerung-Benutzerkonten-Gruppen-Administratoren,
wer steht da drin?)
das Internet deaktivieren!
a) Steigt jeder Benutzer mit einer eigenen
Kennung ein?
b) gibt es im Netzwerk auch einen Server +
Domäne oder nur diesen einen PC?
c) welche IP Adresse/Gateway hat dein PC
(Start-Ausführen-CMD IPConfig /all)
d) sind die Benutzer auch lokale
Administratoren?
(Systemsteuerung-Benutzerkonten-Gruppen-Administratoren,
wer steht da drin?)
1. Ja, jeder hat seine eigene Kennung. Mansche davon mit Internetzugaqng, mansche ohne.
2. Ne, gibt keinen Server. Nur dieser eine PC!
3. 192.168.0.2
4. Unter Admins steht nur ein Admin. Die anderen User haben keine Admin-Rechte.
Das kann doch nicht so schwer sein 1 oder 2 Usern den Internetzugriff zu sperren, oder??
Bin damit echt am verzweifeln... Und Norton will ich nicht nutzen.
Das Problem bei uns ist einfach, dass täglich immer höchstens 2 Personen an dem PC arbeiten und für den Internetzugang müssen wir zahlen. Deswegen hat nicht jeder eine eigene Kennung, sondern wir haben noch 1 für alle. die nicht gezahlt haben, da ist aber momentan auch Internetzugang möglich. Und so macht der ganze Aufwand ja wenig Sinn....
Dein Gateway?
Der Router hat die IP 192.168.0.1
Du kannst einfach einzelnen Usern über die Group Policies verbieten, verschiedene Dateien auszuführen. Hier einfach Einträge für iexplore.exe, firefox.exe und wie die verwendeten Browser heißen eintragen, und schon dürfen einzelne User nicht mehr.
Ist eigentlich relativ easy.
Ist eigentlich relativ easy.
Hallo Doc!
Leider ist das nicht unbedingt immer zielführend, weil viele Explorerfunktionen im System verankert sind, daß das alleinige Sperren von iexplore.exe nicht ausreicht. Um Internet generell abzudrehen ist vermutlich das entfernen des Gateways die effizienteste "Waffe", weil damit JEGLICHER Internetverkehr per defintionem unterbunden wird.
Schönen Tag noch
Administratesse
Leider ist das nicht unbedingt immer zielführend, weil viele Explorerfunktionen im System verankert sind, daß das alleinige Sperren von iexplore.exe nicht ausreicht. Um Internet generell abzudrehen ist vermutlich das entfernen des Gateways die effizienteste "Waffe", weil damit JEGLICHER Internetverkehr per defintionem unterbunden wird.
Schönen Tag noch
Administratesse
Warum trägst du nicht einfach für die beiden User beim Proxy in den Verbindungseinstellungen 127.0.0.1 ein und sperrst (z.B. per Registry oder GPO) den Zugriff auf die Einstellungen des IE?
Solange du noch nicht in den Gruppenrichtlinien "Proxy pro Rechner anstatt Proxy pro User" eingestellt hast, dürfte das dein Problem lösen.
Einfach, aber wirkungsvoll.....
Solange du noch nicht in den Gruppenrichtlinien "Proxy pro Rechner anstatt Proxy pro User" eingestellt hast, dürfte das dein Problem lösen.
Einfach, aber wirkungsvoll.....
Hallo!
Habe mit Begeisterung den Beitrag gelesen. Die Rahmenbedingungen sind in meinem Fall ähnlich, jedoch habe ich das Problem, das sich bei mir im Netz unkontrolliert User mit Notebooks tummeln....
Sie stöpseln sich an eine Dose, sehen eine funktionierende Konfiguration eines Internetrechners ein, und umgehen so die Sperre. Ein MAC-Filter in den Switches ist nicht möglich, da ja Zugriff auf File-Server/Drucker bestehen soll......
Hättet Ihr eine Idee für mich?
Grüß
jan
Habe mit Begeisterung den Beitrag gelesen. Die Rahmenbedingungen sind in meinem Fall ähnlich, jedoch habe ich das Problem, das sich bei mir im Netz unkontrolliert User mit Notebooks tummeln....
Sie stöpseln sich an eine Dose, sehen eine funktionierende Konfiguration eines Internetrechners ein, und umgehen so die Sperre. Ein MAC-Filter in den Switches ist nicht möglich, da ja Zugriff auf File-Server/Drucker bestehen soll......
Hättet Ihr eine Idee für mich?
Grüß
jan
