Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 7 - Internetzugang sperren für bestimmte Benutzer oder Gruppen

Frage Microsoft Windows 7

Mitglied: franc

franc (Level 2) - Jetzt verbinden

12.08.2010 um 16:54 Uhr, 40827 Aufrufe, 16 Kommentare

Hallo,

wie kann ich unter Windows 7 Pro einem bestimmten Useraccount oder einer Gruppe per Gruppenrichtlinie den Zugang zum Internet verbieten?
Der Benutzer soll meinetwegen das Netzwerk gar nicht mehr benutzen dürfen.

Ich hätte gedacht das ist ein alltägliches und vielverlangtes Feature, aber im Netz bin ich nur bedingt fündig geworden, also ich vermisse oder suche einen ganz einfachen Schalter.
Schon einen falschen Proxy oder ein blindes Gateway einzutragen finde ich nicht so gradlinig. Und es soll ja nur bei einem bestimmten User, oder eben einer Gruppe gelten.

Danke, Gruß franc
Mitglied: jayjay0911
12.08.2010 um 17:10 Uhr
Ich würde es in der Verwaltung unter Lokale Sicherheitsrichtlinie probieren. Evtl. dort eine Regel einrichten, dass die Gruppe den Internet-Explorer nicht starten darf oder so ähnlich. Da ich das aber selbst noch nicht gemacht habe: Alle Einstellung, die du vornimmst, auf eigene Gefahr.
Bitte warten ..
Mitglied: Connor1980
12.08.2010 um 17:18 Uhr
Hallo franc,

normalerweise hat man dafür einen Proxy, der wird fest eingetragen per GPO verhindert, dass der Benutzer diesen ändern kann. Im Proxy sind dann entsprechende Regeln hinterlegt, prominentes Beispiel als ProxyServer hierfür ist der Squid. Da diese Regeln zentral gesteuert werden, brauch man diese auch nur einmal Pflegen.
Ansonsten gibt es die Möglichkeit übe pac-Dateien dies für einzelne Rechner zu erledigen.

Grüße
Bitte warten ..
Mitglied: sputnik
12.08.2010 um 18:07 Uhr
Ganz einfach:

Erstelle eine Benutzergruppe. Füge die Benutzer dieser Gruppe hinzu. Erstelle eine GPO, die nur von dieser Benutzergruppe angewendet wird (dass das geht, wissen die meisten nicht). Sperre die Einstellungen für Proxy.

Wenn aber deine Firewall mehr als den Proxy durchlässt - stimmt dein Konzept nicht.
Bitte warten ..
Mitglied: franc
12.08.2010 um 22:56 Uhr
Zitat von sputnik:
Sperre die Einstellungen für Proxy.

Geht das auch ohne Proxy?
Bitte warten ..
Mitglied: jayjay0911
13.08.2010 um 09:38 Uhr
Nur noch mal eine Verständnisfrage: Geht es hier um einen einzelnen PC, z.B. einen privat-PC, oder um einen PC in einem Netzwerk bzw. sogar einer Win-Domäne?
Bitte warten ..
Mitglied: sputnik
13.08.2010 um 09:43 Uhr
Zitat von franc:
> Zitat von sputnik:
> Sperre die Einstellungen für Proxy.

Geht das auch ohne Proxy?

Ja. Min. IE7-Adm oder Server 2008 vorausgesetzt.
Bitte warten ..
Mitglied: franc
13.08.2010 um 10:00 Uhr
Zitat von sputnik:
Ja. Min. IE7-Adm oder Server 2008 vorausgesetzt.

Was ist IE7-Adm?
Bitte warten ..
Mitglied: franc
13.08.2010 um 10:04 Uhr
Zitat von jayjay0911:
Geht es hier um einen einzelnen PC, z.B. einen privat-PC, oder um einen PC in einem
Netzwerk bzw. sogar einer Win-Domäne?

Einen PC im Netzwerk (bestehend aus Router und zwei XP-PC und einem W7 PC, eben dem zu regelndem).
Bitte warten ..
Mitglied: sputnik
13.08.2010 um 10:43 Uhr
Was hast du für eine Domäne? 2003? 2008? 2008 kennt den IE7, 2003 nicht, also muss die adm erst importiert werden:

http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...

Kannst auch gleich IE8 nehmen:

Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen): http://www.gruppenrichtlinien.de/adm/IE8admx.zip
Bitte warten ..
Mitglied: jayjay0911
13.08.2010 um 10:54 Uhr
Zitat von sputnik:
Was hast du für eine Domäne? 2003? 2008? 2008 kennt den IE7, 2003 nicht, also muss die adm erst importiert werden:

http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...

Kannst auch gleich IE8 nehmen:

Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen):
http://www.gruppenrichtlinien.de/adm/IE8admx.zip

Aus seinem Beitrag von oben schließe ich, dass es sich um keine Domäne handelt, hier muss die lokale Sicherheitsrichtlinie für eine bestimmte Gruppe konfiguriert werden. Oder der Router muss gesagt bekommen, dass die MAC-Adresse des Rechners keinen Zugriff auf das Internet erhält.
Bitte warten ..
Mitglied: sputnik
13.08.2010 um 11:50 Uhr
Ein Router ist für MAC-Adressen nicht zuständig, wenn, dann muss die (fest eingestellte) IP des Rechners geblockt werden, und hier braucht es schon eine Firewall.

Wenn es über lokale GPOs gehen soll, dann nur in dem Zweig Computerkonfiguration - dieser gilt dann aber systemweit.

Habe es selber noch nicht ausprobiert:

Führe gpedit.msc als Administrator aus.
Geh in den Zweig Benutzerkonfiguration.
Administrative Vorlagen - Windows Komponenten - Internet Explorer - Änderung der Proxyeinstellungen deaktivieren - "aktivieren".

Melde dich anschließend ab und dann den entsprechenden Benutzer an. Kann er die Änderung mit gpedit.msc wieder rückgängig machen? Wenn nicht - gut.

Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.
Bitte warten ..
Mitglied: franc
13.08.2010 um 12:50 Uhr
Zitat von sputnik:
Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.

Ja, sind vorhanden, nämlich Firefox und der ist für einen anderen Benutzer auf diesem Rechner im Einsatz.
Bitte warten ..
Mitglied: franc
13.08.2010 um 12:52 Uhr
Zitat von jayjay0911:
Aus seinem Beitrag von oben schließe ich, dass es sich um keine Domäne handelt...

Ja, es ist keine Domäne vorhanden.

... hier muss die lokale Sicherheitsrichtlinie für eine bestimmte Gruppe konfiguriert werden.

Aber wie?

Oder der Router muss gesagt bekommen, dass die MAC-Adresse des Rechners keinen Zugriff auf das Internet erhält.

Nein, das geht nicht, weil ein anderer Benutzer soll ja noch ins Netz kommen. So geht der Rechner ja dann gar nicht mehr ins Netz.
Bitte warten ..
Mitglied: DerWoWusste
13.08.2010 um 15:44 Uhr
Hi.

Sag mal eben, was an einem blinden Gateway nicht geradlinig ist. Für mich ist das geradlinig, es sei denn, Ihr braucht das Gateway für andere Zwecke.
Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit einem geplanten Task, der bei Logon startet.
Bitte warten ..
Mitglied: franc
13.08.2010 um 16:15 Uhr
Zitat von DerWoWusste:
Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit
einem geplanten Task, der bei Logon startet.
Genau so habe ich das schon mal bei einem Rechner gemacht, mit netsh. Aber das mit dem Skript abhängig vom Nutzer ist eine gute Idee.
Kann aber der normale Nutzer das Gateway dann nicht selbst ändern? Kann man das dann irgendwo (?) per Richtlinie verbieten?
Bitte warten ..
Mitglied: DerWoWusste
13.08.2010 um 16:31 Uhr
Nein, der geplante Task arbeitet mit Systemrechten, der User hat hingegen kein Recht dazu, das Gateway zu ändern.
Mach es so: Erstell ein (bei Bedarf Domänen-) Anmeldeskript (gateway.bat). Dieses wird im Kontext des Benutzers unsichtbar ausgeführt. Inhalt von gateway.bat:
01.
if %username%==Sperrnutzername goto sperren 
02.
schtasks /run /tn Netshentsperrtask 
03.
goto end 
04.
:sperren 
05.
schtasks /run /tn Netshsperrtask 
06.
:end
Der netshsperrtask/netshentsperrtask sind dann Deine netsh-Skripte. Der Entsperrtask muss Ausführrechte für alle Nutzer bis auf den Sperrnutzer bieten. Der andere muss von allen ausführbar sein.
Damit
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Sicherheits-Tools
gelöst 2 faktor authentifizierung windows domäne nur bestimmte benutzer (7)

Frage von kal10bach zum Thema Sicherheits-Tools ...

Windows Server
Windows 2012 RDS Server - Programme nur für bestimmte Benutzer? (2)

Frage von zersys zum Thema Windows Server ...

Windows Server
gelöst Ausnahmeregeln in GPOs für bestimmte Benutzer in der Domäne priorisieren aber wie? (3)

Frage von ITCrowdSupporter zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...