27682
Goto Top

Proxyeinstellungen im Internetexplorer

Hallo,
ich habe ein kelines Testnetzwerk Zuhause aufgebaut, mit Windows 2003 Server auf dem gleichzeitig ISA- Server installiert ist, der den Clients eine Internetverbindung bietet. Die Clients bekommen ihre IP- Adressen mit DHCP zugewiesen. Die Proxyeinstellungen des Internetexplorers werden ohne Probleme per Gruppenrichtlinie an die Clients übertragen.
Ich habe verschiedene Organisationseinheiten angelegt mit deren Hilfe die Benutzer verschiedene Berechtigungen zugewiesen bekommen. Eine OU soll keinen Zugriff ins Internenet erhalten, dafür habe ich die Proxyeinstellungen aus den Gruppenrichtlinien genommen und verhindert das der Benutzer Manuell welche eintragen kann.
Mein Problem ist das in dem Internetexplorer des Clients kein Proxyserver eingetragen ist, die Clients dieser OU aber trotzdem ohne Probleme surfen können.
Mir fallen nur zwei Dinge ein um das beheben zu können, halt diese Möglichkeiten aber für unsauber/umständlich.
1. Könnte ich den Clients per DHCP (Anhand ihrer MAC-Adresse) keinen Standardgateway zuweisen.
2. Könnte ich ihnen einfach einen falschen Proxserver eintragen, den sie nicht umstellen könnten.
Wieso können die Clients noch surfen und wie kann ich das "sauber" abschalten?

Danke für eure Hilfe ;=)

Content-Key: 30146

Url: https://administrator.de/contentid/30146

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: Zarsten
Zarsten 11.04.2006 um 00:19:08 Uhr
Goto Top
Eine saubere Lösung wäre zum Beispiel für den Internetzugriff eine Regel im ISA Server zu erstellen und dann die Benutzer der Domäne je nach Berechtigung in die 2 verschiedenen Gruppen Internetbenutzer oder Lokal-gefangene Nutzer zu verfrachten.

Jetzt kontrolliert der ISA Server die Anforderung und gibt den Internetzugriff bei Bedarf frei

EDIT: Das funktioniert allerdings nur mit HTTP Anforderungen. Um alle anderen Zugriffe aufs Internet zu speren (ICQ, Filesharing etc.) solltest Du alle Ports sperren und nur für diejenigen IP's freigeben die sie wirklich nutzen
Mitglied: onetech
onetech 11.04.2006 um 10:53:47 Uhr
Goto Top
hi,

wie ist den dein standardgateway für die user definiert die nicht ins internet sollen ?

wenn das ein router ist kommen die immer ins internet, wenns der isa server ist, dann wie oben beschrieben per regel entfernen.

man kann auch dhcp ueber bereichsoptionen "aufteilen", so dass diese user ein anderes gateway bekommen könnten. im fehlerfall des isa servers könnten diese user dann noch intern weiter arbeiten.

jc
Mitglied: 27682
27682 11.04.2006 um 15:21:46 Uhr
Goto Top
Die Benutzer die nicht ins Internet sollen bekommen das gleiche Standardgateway wie jedes Netzwerkgerät das per DHCP IP- Adressen bekommt.
Wie ihr schon geschrieben habt, habe ich im ISA eine Gruppe "Internetbenutzer" definiert, für die die Firewallrichtlinie "Surfen" gültig ist.
Das ganze funktioniert gut, bis auf das ich von meinem ISA- Server aus mit meinem angemeldeten Administrator auch nicht mehr surfen kann obwohl der Administrator in der oben erstellten Gruppe "Internetbenutzer" eingetragen ist.
Wenn ich mich mit Administrator an meinem Client anmelde kann er ohne Probleme surfen, wieso bekommt er das von meinem ISA- Server aus verboten? Wenn ich die Gruppe "Alle Benutzer" in der "surfen" Richtlinie eintrage kann er wieder von ISA- Server aus ins Internet. Versteh nicht ganz wieso es nicht geht ;D