Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Internetzugriff für bestimmte Clients per GPO verbieten

Frage Microsoft Windows Server

Mitglied: xbast1x

xbast1x (Level 2) - Jetzt verbinden

27.10.2014, aktualisiert 13:32 Uhr, 2671 Aufrufe, 10 Kommentare

Hallo,

Ist Zustand (Proxyserver vorhanden):

Es gibt Clients z.B. Archivrechner, welche keinen Internetzugriff erhalten sollen (egal welcher Benutzer angemeldet ist).

Momentan gibt es eine Mitarbeitergruppe welche ebenfalls keinen Internetzugriff besitzt. Soweit passen die Einstellungen. (Nicht existierenden Proxy eingetragen)

Wie verhält es sich, wenn ein bestimmter Client kein Internet haben darf, egal bei welchem User.

Ich habe es bereits versucht per GPO einzustellen, jedoch zieht die Einstellung nicht, wenn ein Benutzer sich am Client anmeldet, welcher im "normalen" Umfeld Verbindung zum Internet hat.


Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.

Grüße Sebastian.
Mitglied: emeriks
27.10.2014, aktualisiert um 11:21 Uhr
Hi,
das wirst Du dann über Loopback übersteuern müssen.

Sofern Du den Proxy nicht per Script einträgst:

Computer und Benutzer müssen in verschiedene OUs. Am besten auch nicht untereinander verschachtelte OU.
Du musst eine GPO für den Computer erstellen und an die OU mit dem Computer hängen. Diese muss den Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.

Dann in der OU mit dem Computer eine weitere GPO für alle Benutzer erstellen, welche explizit keinen Proxy einstellt.

Wenn sich die Benutzer nun an diesen PC anmeldet, dann wirkt die neuen GPO und übersteuert die andere GPO mit den Proxy-Einstellungen.
Wenn er sich an einem anderen PC anmeldet, für welchen nicht die Loopback und Nicht-Proxy-GPO wirken, dann wirkt für ihn die "mormale" Proxy-GPO.

E.

Edit: habe Text nochmal korrigiert.
Bitte warten ..
Mitglied: skahle85
27.10.2014 um 11:20 Uhr
Moin,

da du im Eröffnungssatz bereits erwähnt hast, dass ein Proxyserver im Einsatz ist, kannst du diesen doch dazu nutzen um mit Hilfe von Firewallregeln/Gruppen bestimmten IPs den Zugang zum Internet zu verweigern...

Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...

Beste Grüße
Bitte warten ..
Mitglied: emeriks
27.10.2014 um 11:23 Uhr
Hi,
Zitat von skahle85:
Oder wenn ein DHCP im Einsatz ist diesen dazu zu benutzen bestimmten IPs kein Gateway zu geben...
Anmerkung:
Mit einem Proxy eingetragen braucht man kein Gateway (du meinst hier sicher Router) für den Internetzugriff ...

E.
Bitte warten ..
Mitglied: xbast1x
27.10.2014, aktualisiert um 11:32 Uhr
Zitat von emeriks:


Du musst eine GPO für den Computer erstellen und an die OU mit dem Computer hängen. Diese muss den
Loopback-Modus auf "ersetzen" stellt. Dann auf dem PC die GPOs aktualisieren.

Ich habe jetzt in der Computer OU eine GPO welcher sagt, Benutzer = fiktiver Proxy. Loopback ist ebenfalls aktiv und steht auf ersetzen.

Ebenfalls ist aktiviert -> Proxyeinstellungen pro Computer vornehmen


So war es bereits vorher wo es nicht geklappt hat
Bitte warten ..
Mitglied: transocean
27.10.2014 um 11:45 Uhr
Moin,

ich mach das hier mit einer Deny Regel in der Firewall.

Gruß

Uwe
Bitte warten ..
Mitglied: emeriks
27.10.2014 um 12:03 Uhr
Poste bitte mal die Ausgabe von "gpresult /r".

E.
Bitte warten ..
Mitglied: xbast1x
27.10.2014 um 12:56 Uhr
COMPUTEREINSTELLUNGEN
CN=ARCHIV,OU=NO Internet,OU=Intern,OU=Computer,OU=ALT,DC=alt,DC=asclepion,DC
=com
Zeit der letzten Gruppenrichtlinienanwendung: 27.10.2014 at 11:48:34
Gruppenrichtlinie wurde angewendet von: XXX.com
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - Adobe Flash Disable Update
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------

Standardmäßig wird in der default ALT der korrekte proxy für den User gesetzt.
Bitte warten ..
Mitglied: emeriks
27.10.2014 um 13:10 Uhr
Zum gpresult:
Hier ist nichts zum Benutzer drin ...

Ebenfalls ist aktiviert -> Proxyeinstellungen pro Computer vornehmen
Sorry, das hatte ich überlesen.

Wenn pro Computer, dann darf im Gegenzug dem Benutzer kein Proxy mitgegeben werden. Ich denke das ist klar.
Und dann macht die Sache mit dem Loopback natürlich auch keinen Sinn. Nicht dafür.

Hast Du sichergestellt, dass für betreffende Computer die "Computer - NO Internet" gegenüber der "Default ALT Policy" gewinnt? Entweder durch die GPO-Rangfolge oder ggf. durch Erzwinger der GPOs.

E.
Bitte warten ..
Mitglied: aqui
LÖSUNG 27.10.2014, aktualisiert um 18:09 Uhr
Ich stehe da auf dem Schlauch und hoffe jemand hat einen Tipp für mich.
Einfach eine statische IP OHNE Default Gateway auf diesem Rechner konfigurieren und schon ists aus mit dem Internet !
So einfach ist das !
(Na ja...jedenfalls so lange dort keiner mit einer CD oder USB Stick ein Live System bootet oder den PC von zuhause anschliesst und dann wieder Internet hat )
Um letzteres auch zu verhindern und es wirklich wasserdicht zu machen kannst du dann noch eine Port Security mit 802.1x aktivieren sofern deine LAN Switches das supporten:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Bitte warten ..
Mitglied: xbast1x
27.10.2014, aktualisiert um 13:32 Uhr
Sorry, der Rest war abgeschnitten.

COMPUTEREINSTELLUNGEN
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - Adobe Flash Disable Update
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)




BENUTZEREINSTELLUNGEN
CN=XX_admin,OU=IT,OU=ALT,DC=alt,DC=XX,DC=com
Zeit der letzten Gruppenrichtlinienanwendung: 27.10.2014 at 13:18:23
Gruppenrichtlinie wurde angewendet von: hinkelstein.alt.asclepion.com
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Computer - NO Internet
SW - ULTRA VNC
SW - Adobe Flash
Default ALT Policy
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------



Ich habe die GPO auf erzwungen gesetzt. Die "Default" ALT Policy" ist die Policy welche an zweiter Stelle in der Hierarchie steht. Die GPO No Internet habe ich auf Erzwungen gesetzt.

Die Änderung im Proxy wird weiterhin nicht übernommen.



*Edit: Die Lösung mit dem Gateway klappt. Danke ;)
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
GPO werden nicht an Window 7 Clients vergeben (5)

Frage von Tealk144 zum Thema Windows Server ...

Windows Update
gelöst WSUS Clients werden trotz GPO nicht erkannt (6)

Frage von lordzwieback zum Thema Windows Update ...

Internet Domänen
gelöst Kein Internetzugriff für einige Clients im Netzwerk (23)

Frage von rapidshare zum Thema Internet Domänen ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...