Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Internetzugriff für bestimmte Clients per GPO verbieten

Frage Microsoft Windows Server

Mitglied: xbast1x

xbast1x (Level 2) - Jetzt verbinden

27.10.2014, aktualisiert 13:32 Uhr, 3407 Aufrufe, 10 Kommentare

Hallo,

Ist Zustand (Proxyserver vorhanden):

Es gibt Clients z.B. Archivrechner, welche keinen Internetzugriff erhalten sollen (egal welcher Benutzer angemeldet ist).

Momentan gibt es eine Mitarbeitergruppe welche ebenfalls keinen Internetzugriff besitzt. Soweit passen die Einstellungen. (Nicht existierenden Proxy eingetragen)

Wie verhält es sich, wenn ein bestimmter Client kein Internet haben darf, egal bei welchem User.

Ich habe es bereits versucht per GPO einzustellen, jedoch zieht die Einstellung nicht, wenn ein Benutzer sich am Client anmeldet, welcher im "normalen" Umfeld Verbindung zum Internet hat.


Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.

Grüße Sebastian.
Mitglied: emeriks
27.10.2014, aktualisiert um 11:21 Uhr
Hi,
das wirst Du dann über Loopback übersteuern müssen.

Sofern Du den Proxy nicht per Script einträgst:

Computer und Benutzer müssen in verschiedene OUs. Am besten auch nicht untereinander verschachtelte OU.
Du musst eine GPO für den Computer erstellen und an die OU mit dem Computer hängen. Diese muss den Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.

Dann in der OU mit dem Computer eine weitere GPO für alle Benutzer erstellen, welche explizit keinen Proxy einstellt.

Wenn sich die Benutzer nun an diesen PC anmeldet, dann wirkt die neuen GPO und übersteuert die andere GPO mit den Proxy-Einstellungen.
Wenn er sich an einem anderen PC anmeldet, für welchen nicht die Loopback und Nicht-Proxy-GPO wirken, dann wirkt für ihn die "mormale" Proxy-GPO.

E.

Edit: habe Text nochmal korrigiert.
Bitte warten ..
Mitglied: skahle85
27.10.2014 um 11:20 Uhr
Moin,

da du im Eröffnungssatz bereits erwähnt hast, dass ein Proxyserver im Einsatz ist, kannst du diesen doch dazu nutzen um mit Hilfe von Firewallregeln/Gruppen bestimmten IPs den Zugang zum Internet zu verweigern...

Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...

Beste Grüße
Bitte warten ..
Mitglied: emeriks
27.10.2014 um 11:23 Uhr
Hi,
Zitat von skahle85:
Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Anmerkung:
Mit einem Proxy eingetragen braucht man kein Gateway (du meinst hier sicher Router) für den Internetzugriff ...

E.
Bitte warten ..
Mitglied: xbast1x
27.10.2014, aktualisiert um 11:32 Uhr
Zitat von emeriks:


Du musst eine GPO für den Computer erstellen und an die OU mit dem Computer hängen. Diese muss den
Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.

Ich habe jetzt in der Computer OU eine GPO welcher sagt, Benutzer = fiktiver Proxy. Loopback ist ebenfalls aktiv und steht auf ersetzen.

Ebenfalls ist aktiviert -> Proxyeinstellungen pro Computer vornehmen


So war es bereits vorher wo es nicht geklappt hat
Bitte warten ..
Mitglied: transocean
27.10.2014 um 11:45 Uhr
Moin,

ich mach das hier mit einer Deny Regel in der Firewall.

Gruß

Uwe
Bitte warten ..
Mitglied: emeriks
27.10.2014 um 12:03 Uhr
Poste bitte mal die Ausgabe von "gpresult /r".

E.
Bitte warten ..
Mitglied: xbast1x
27.10.2014 um 12:56 Uhr
COMPUTEREINSTELLUNGEN
CN=ARCHIV,OU=NO Internet,OU=Intern,OU=Computer,OU=ALT,DC=alt,DC=asclepion,DC
=com
Zeit der letzten Gruppenrichtlinienanwendung: 27.10.2014 at 11:48:34
Gruppenrichtlinie wurde angewendet von: XXX.com
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - Adobe Flash Disable Update
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------

Standardmäßig wird in der default ALT der korrekte proxy für den User gesetzt.
Bitte warten ..
Mitglied: emeriks
27.10.2014 um 13:10 Uhr
Zum gpresult:
Hier ist nichts zum Benutzer drin ...

Ebenfalls ist aktiviert -> Proxyeinstellungen pro Computer vornehmen
Sorry, das hatte ich überlesen.

Wenn pro Computer, dann darf im Gegenzug dem Benutzer kein Proxy mitgegeben werden. Ich denke das ist klar.
Und dann macht die Sache mit dem Loopback natürlich auch keinen Sinn. Nicht dafür.

Hast Du sichergestellt, dass für betreffende Computer die "Computer - NO Internet" gegenüber der "Default ALT Policy" gewinnt? Entweder durch die GPO-Rangfolge oder ggf. durch Erzwinger der GPOs.

E.
Bitte warten ..
Mitglied: aqui
LÖSUNG 27.10.2014, aktualisiert um 18:09 Uhr
Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.
Einfach eine statische IP OHNE Default Gateway auf diesem Rechner konfigurieren und schon ists aus mit dem Internet !
So einfach ist das !
(Na ja...jedenfalls so lange dort keiner mit einer CD oder USB Stick ein Live System bootet oder den PC von zuhause anschliesst und dann wieder Internet hat )
Um letzteres auch zu verhindern und es wirklich wasserdicht zu machen kannst du dann noch eine Port Security mit 802.1x aktivieren sofern deine LAN Switches das supporten:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Bitte warten ..
Mitglied: xbast1x
27.10.2014, aktualisiert um 13:32 Uhr
Sorry, der Rest war abgeschnitten.

COMPUTEREINSTELLUNGEN
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - Adobe Flash Disable Update
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)




BENUTZEREINSTELLUNGEN
CN=XX_admin,OU=IT,OU=ALT,DC=alt,DC=XX,DC=com
Zeit der letzten Gruppenrichtlinienanwendung: 27.10.2014 at 13:18:23
Gruppenrichtlinie wurde angewendet von: hinkelstein.alt.asclepion.com
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------



Ich habe die GPO auf erzwungen gesetzt. Die "Default" ALT Policy" ist die Policy welche an zweiter Stelle in der Hierarchie steht. Die GPO No Internet habe ich auf Erzwungen gesetzt.

Die Änderung im Proxy wird weiterhin nicht übernommen.



*Edit: Die Lösung mit dem Gateway klappt. Danke ;)
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
USB über GPO verbieten
gelöst Frage von SpeakerSTWindows Netzwerk15 Kommentare

Hallo, ich denke das dieses Thema schon oft durchgekaut wurde, leider nicht so wie ich es brauche. Wir haben ...

Windows Server
Gpo Software installation verbieten
gelöst Frage von nullpeilerWindows Server11 Kommentare

Hallo Admins, ich test gerade GPOs und ihre Auswirkungen. Gesetz des falles alle User haben an einem Client lokale ...

Internet Domänen
Kein Internetzugriff für einige Clients im Netzwerk
gelöst Frage von rapidshareInternet Domänen23 Kommentare

Mich beschäftigt seit Tagen ein Problem. Und zwar in einem Domänen Netzwerk bekommen zwei Clients von den insgesamt 20 ...

Windows 7
Alles außer Reboot am Client verbieten
Frage von menaceWindows 78 Kommentare

Hallo zusammen, ich muss an Windows 7 standalone Clients (ohne AD) im Startmenü alle Einträge ausblenden bzw. deaktivieren, sodass ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 7 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 9 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 23 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server12 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...