8
Internetzugriff für bestimmten Rechner sperren
Hallo...
Habe folgendes Problem bei dem ich nicht weiterkomme. Im Betrieb ist ein Windows 2000 Server (kein AD), der für momentan 4 Clients seine Dienste anbieten soll. In erster Linie soll er Netzwerkfreigaben zu Verfügung stellen, aber auch den Internetzugriff regeln. Habe am Server DHCP, DNS und RRas zu laufen, funktioniert auch alles. Nun geht es darum, einem PC den Internetzugriff zu verweigern. Habe mich belesen und versucht einen Proxy einzurichten (CCProxy). Das klappt allerdings nur, wenn ich bei den Clients im Internet Explorer auch angebe, dass ein Proxy genutzt werden soll (irgendwie ja auch logisch). Das löst mein Problem nicht unbedingt, da ja jeder findige User diese Einstellungen wieder zurücknehmen kann. Kann ich
a) den Proxy so konfigurieren, dass er an Port 80 läuft? oder
b) über lokale Richtlinien an dem einen Rechner das Verändern der Einstellungen im IE verhindern? oder
c) was ganz anderes????
Danke
Andreas
Habe folgendes Problem bei dem ich nicht weiterkomme. Im Betrieb ist ein Windows 2000 Server (kein AD), der für momentan 4 Clients seine Dienste anbieten soll. In erster Linie soll er Netzwerkfreigaben zu Verfügung stellen, aber auch den Internetzugriff regeln. Habe am Server DHCP, DNS und RRas zu laufen, funktioniert auch alles. Nun geht es darum, einem PC den Internetzugriff zu verweigern. Habe mich belesen und versucht einen Proxy einzurichten (CCProxy). Das klappt allerdings nur, wenn ich bei den Clients im Internet Explorer auch angebe, dass ein Proxy genutzt werden soll (irgendwie ja auch logisch). Das löst mein Problem nicht unbedingt, da ja jeder findige User diese Einstellungen wieder zurücknehmen kann. Kann ich
a) den Proxy so konfigurieren, dass er an Port 80 läuft? oder
b) über lokale Richtlinien an dem einen Rechner das Verändern der Einstellungen im IE verhindern? oder
c) was ganz anderes????
Danke
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 40313
Url: https://administrator.de/contentid/40313
Printed on: April 19, 2024 at 00:04 o'clock
8 Comments
Latest comment
Hi,
a) ja
b) ja
c) ja
zu a): Ich kenne die Proxy-Software nicht, aber was bringt Dir das, den Proxy auf Port 80 laufen zu lassen? Genauso gut ist ja auch jeder andere Port.
zu b): Ja, man kann in den GPO's den Proxy für den IE fest vorgeben.
zu c): Beschäftige dich mal mit dem Thema "transparenter Proxy", da brauchen dann die Leute gar nichts mehr eintragen im IE oder sonstwo.
Generell macht ein Proxy nur dann Sinn, wenn es auch keine andere Möglichkeit für die User mehr gibt, direkt ins Internet zu gelangen. Also Proxy in die DMZ, direkten Zugriff vom internen LAN ins Internet (alle protokolle) generell sperren. Dann können die gerne auch am IE rumdrehen, so lange sie wollen - dann gibts halt gar kein Internet mehr
cu,
Alex
a) ja
b) ja
c) ja
zu a): Ich kenne die Proxy-Software nicht, aber was bringt Dir das, den Proxy auf Port 80 laufen zu lassen? Genauso gut ist ja auch jeder andere Port.
zu b): Ja, man kann in den GPO's den Proxy für den IE fest vorgeben.
zu c): Beschäftige dich mal mit dem Thema "transparenter Proxy", da brauchen dann die Leute gar nichts mehr eintragen im IE oder sonstwo.
Generell macht ein Proxy nur dann Sinn, wenn es auch keine andere Möglichkeit für die User mehr gibt, direkt ins Internet zu gelangen. Also Proxy in die DMZ, direkten Zugriff vom internen LAN ins Internet (alle protokolle) generell sperren. Dann können die gerne auch am IE rumdrehen, so lange sie wollen - dann gibts halt gar kein Internet mehr
cu,
Alex
Wenn der User keine Adminrechte hat, kannst Du auch einfach dem Rechner kein Gateway geben, dann kommt er auch nicht ins Internet. Aber dann gehen auch die automatischen Updates für Windws nicht mehr.
Deshalb ist die Proxy-Sache sinnvoller.
Gruß,
Thomas
Deshalb ist die Proxy-Sache sinnvoller.
Gruß,
Thomas
Vielen Dank für die Antworten!
Also "transparenter Proxy" scheint genau das Richtige zu sein. Allerdings hab ich keine Programmlösung für Windows gefunden. Mein Problem ist ja, dass der Zugriff von allen Rechner funktioniert, logischerweise über Port 80. In der Proxy-Software kann ich einstellen was ich will, solange ich in den Einstellungen des IE nicht den Lanzugriff über Proxy erzwinge, bleiben die Einstellungen erfolglos. Ich denke am Einfachsten ist es, wenn ich dem User an dem betreffenden PC einfach den Proxy über Richlinien zuweise (wie?). Aber aus reinem Interesse wüsste ich gern die elegantere Lösung über einen Proxy bzw. andere Lösung. Als erste Idee kam mir z.B. Winroute, hatte das mal ganz früher im Betrieb, aber dann passiert die Einwahl ja über einen DFÜ Eintrag...würde schon gern beim RRas bleiben. Falls das eine "doofe" Einstellung von mir ist, sagt es mir :D
Also "transparenter Proxy" scheint genau das Richtige zu sein. Allerdings hab ich keine Programmlösung für Windows gefunden. Mein Problem ist ja, dass der Zugriff von allen Rechner funktioniert, logischerweise über Port 80. In der Proxy-Software kann ich einstellen was ich will, solange ich in den Einstellungen des IE nicht den Lanzugriff über Proxy erzwinge, bleiben die Einstellungen erfolglos. Ich denke am Einfachsten ist es, wenn ich dem User an dem betreffenden PC einfach den Proxy über Richlinien zuweise (wie?). Aber aus reinem Interesse wüsste ich gern die elegantere Lösung über einen Proxy bzw. andere Lösung. Als erste Idee kam mir z.B. Winroute, hatte das mal ganz früher im Betrieb, aber dann passiert die Einwahl ja über einen DFÜ Eintrag...würde schon gern beim RRas bleiben. Falls das eine "doofe" Einstellung von mir ist, sagt es mir :D
Moin,
hast du evtl eine Firewall am laufen. Mit so einer könntest du bestimmen, das nur der Proxy ins Internet darf und somit würde es lokal nicht mehr funktionieren.
Ein anderer Trick wäre vielleicht, über DHCP eine falsche/keine Gateway zu übermitteln. Somit wäre bei deaktivierten Proxy auch kein Internetzugang möglich.
Oder wie schon erwähnt, nimmst du einen transparanten Proxy. Mir fällt da nur Squid ein, den es, glaube ich, auch für Windows gibt. Dort könntest du auch eine Benutzerauthentifierung einbauen, dann ist der Proxy aber nicht mehr transparent.
Und da du ja ein AD hast, könntest du über Gruppenrichtlinien die Internet Explorer Einstellung fest vergeben und sperren (könntest du zwar auch lokal (gpedit.msc) an den PCs einstellen, aber mit einem Domänencontroller pflegeleichter).
Gruß,
B.Böcherer
hast du evtl eine Firewall am laufen. Mit so einer könntest du bestimmen, das nur der Proxy ins Internet darf und somit würde es lokal nicht mehr funktionieren.
Ein anderer Trick wäre vielleicht, über DHCP eine falsche/keine Gateway zu übermitteln. Somit wäre bei deaktivierten Proxy auch kein Internetzugang möglich.
Oder wie schon erwähnt, nimmst du einen transparanten Proxy. Mir fällt da nur Squid ein, den es, glaube ich, auch für Windows gibt. Dort könntest du auch eine Benutzerauthentifierung einbauen, dann ist der Proxy aber nicht mehr transparent.
Und da du ja ein AD hast, könntest du über Gruppenrichtlinien die Internet Explorer Einstellung fest vergeben und sperren (könntest du zwar auch lokal (gpedit.msc) an den PCs einstellen, aber mit einem Domänencontroller pflegeleichter).
Gruß,
B.Böcherer
Nein, habe keine Firewall. Und da es sich ja nur um einen Rechner handelt, weiß ich nicht ob es sinnvoll ist, allen Clients über DHCP einen toten Gateway einzutragen. Und AD ist ja auch nicht installiert, dann wäre es ja um vieles einfacher. Zum Verständnis: Es ist eine kleine Firma die Veranstaltungsequipment vermietet. Es gibt eine Branchenlösung mit einem SQL Server, der momentan noch auf einer Maschine im Büro liegt, an der auch gearbeitet wird. Solange das Büro nicht besetzt ist, ist der Rechner aus und vom Lager (wo der besagt Client steht) kann keiner auf die DB. Von daher kommt jetzt der Server ins Spiel, mit dem ich gleichzeitig auch noch einige andere Sachen zentralisiere (z.B. AV Software, Netzwerkfreigaben ect.) Nun soll aber vom Lager aus, an dem es nur eine Userkennung gibt, kein Internetzugriff möglich sein. Ich hoffe mich jetzt etwas verständlicher ausgedrückt zu haben.
Schönen Tag noch
Andreas
Schönen Tag noch
Andreas
wie wäre es im Lager alle Browser ( soweit mehre vorhanden ) zu deinstallieren ?? Denn kannst alles so lassen....ist ja nicht jeder da ein Inet Profi. Zudem bemerkst doch schnell ob dann da wieder einer was installieren will - was er als nicht Admin dann eh nicht kann -
so long
so long
Glaube das geht nicht, weil der Teil des Programmes, welches für den Lagerbestand zuständig ist, einen Browser will. Und außerdem, und jetzt versteht mich bitte nicht falsch, ist das ein wenig zu "plump". CCProxy (wahrscheinlich auch viele andere Programme) lässt mir verschiedene Filtermöglichkeiten, am Idealsten fand ich IP+Mac und "alle erlauben außer"...das ist eigentlich die Lösung meines Problems. Muss ich eben am Client im Lager den Proxy eintragen und gegen Veränderung durch den User schützen. Falls euch noch was "Schöneres" einfällt..ich bin ganz Ohr.
Andreas
Andreas
Hi,
Ich empfähle dir eine sehr einfache Lösung. Kindersicherung (www.salfeld.de), damit du fast alles einzeln regeln kannst. Kostenpflichtig!. Oder (www.kindersicherung-internet.de) gratis für den Privatanwender.
Gruss
Shota
Ich empfähle dir eine sehr einfache Lösung. Kindersicherung (www.salfeld.de), damit du fast alles einzeln regeln kannst. Kostenpflichtig!. Oder (www.kindersicherung-internet.de) gratis für den Privatanwender.
Gruss
Shota
