Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 7 - Internetzugang sperren für bestimmte Benutzer oder Gruppen

Frage Microsoft Windows 7

Mitglied: franc

franc (Level 2) - Jetzt verbinden

12.08.2010 um 16:54 Uhr, 45460 Aufrufe, 16 Kommentare

Hallo,

wie kann ich unter Windows 7 Pro einem bestimmten Useraccount oder einer Gruppe per Gruppenrichtlinie den Zugang zum Internet verbieten?
Der Benutzer soll meinetwegen das Netzwerk gar nicht mehr benutzen dürfen.

Ich hätte gedacht das ist ein alltägliches und vielverlangtes Feature, aber im Netz bin ich nur bedingt fündig geworden, also ich vermisse oder suche einen ganz einfachen Schalter.
Schon einen falschen Proxy oder ein blindes Gateway einzutragen finde ich nicht so gradlinig. Und es soll ja nur bei einem bestimmten User, oder eben einer Gruppe gelten.

Danke, Gruß franc
Mitglied: jayjay0911
12.08.2010 um 17:10 Uhr
Ich würde es in der Verwaltung unter Lokale Sicherheitsrichtlinie probieren. Evtl. dort eine Regel einrichten, dass die Gruppe den Internet-Explorer nicht starten darf oder so ähnlich. Da ich das aber selbst noch nicht gemacht habe: Alle Einstellung, die du vornimmst, auf eigene Gefahr.
Bitte warten ..
Mitglied: Connor1980
12.08.2010 um 17:18 Uhr
Hallo franc,

normalerweise hat man dafür einen Proxy, der wird fest eingetragen per GPO verhindert, dass der Benutzer diesen ändern kann. Im Proxy sind dann entsprechende Regeln hinterlegt, prominentes Beispiel als ProxyServer hierfür ist der Squid. Da diese Regeln zentral gesteuert werden, brauch man diese auch nur einmal Pflegen.
Ansonsten gibt es die Möglichkeit übe pac-Dateien dies für einzelne Rechner zu erledigen.

Grüße
Bitte warten ..
Mitglied: 48507
12.08.2010 um 18:07 Uhr
Ganz einfach:

Erstelle eine Benutzergruppe. Füge die Benutzer dieser Gruppe hinzu. Erstelle eine GPO, die nur von dieser Benutzergruppe angewendet wird (dass das geht, wissen die meisten nicht). Sperre die Einstellungen für Proxy.

Wenn aber deine Firewall mehr als den Proxy durchlässt - stimmt dein Konzept nicht.
Bitte warten ..
Mitglied: franc
12.08.2010 um 22:56 Uhr
Zitat von 48507:
Sperre die Einstellungen für Proxy.

Geht das auch ohne Proxy?
Bitte warten ..
Mitglied: jayjay0911
13.08.2010 um 09:38 Uhr
Nur noch mal eine Verständnisfrage: Geht es hier um einen einzelnen PC, z.B. einen privat-PC, oder um einen PC in einem Netzwerk bzw. sogar einer Win-Domäne?
Bitte warten ..
Mitglied: 48507
13.08.2010 um 09:43 Uhr
Zitat von franc:
> Zitat von 48507:
> Sperre die Einstellungen für Proxy.

Geht das auch ohne Proxy?

Ja. Min. IE7-Adm oder Server 2008 vorausgesetzt.
Bitte warten ..
Mitglied: franc
13.08.2010 um 10:00 Uhr
Zitat von 48507:
Ja. Min. IE7-Adm oder Server 2008 vorausgesetzt.

Was ist IE7-Adm?
Bitte warten ..
Mitglied: franc
13.08.2010 um 10:04 Uhr
Zitat von jayjay0911:
Geht es hier um einen einzelnen PC, z.B. einen privat-PC, oder um einen PC in einem
Netzwerk bzw. sogar einer Win-Domäne?

Einen PC im Netzwerk (bestehend aus Router und zwei XP-PC und einem W7 PC, eben dem zu regelndem).
Bitte warten ..
Mitglied: 48507
13.08.2010 um 10:43 Uhr
Was hast du für eine Domäne? 2003? 2008? 2008 kennt den IE7, 2003 nicht, also muss die adm erst importiert werden:

http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...

Kannst auch gleich IE8 nehmen:

Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen): http://www.gruppenrichtlinien.de/adm/IE8admx.zip
Bitte warten ..
Mitglied: jayjay0911
13.08.2010 um 10:54 Uhr
Zitat von 48507:
Was hast du für eine Domäne? 2003? 2008? 2008 kennt den IE7, 2003 nicht, also muss die adm erst importiert werden:

http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_A ...

Kannst auch gleich IE8 nehmen:

Direktlink zu IE8-ADM (nur, wenn du einer 2003er-Domäne oder älter hast): http://www.gruppenrichtlinien.de/adm/ie8.zip
Direktlink zu IE8-ADMX (bei einer 2008er R1 Domäne, R2 müsste den IE8 kennen):
http://www.gruppenrichtlinien.de/adm/IE8admx.zip

Aus seinem Beitrag von oben schließe ich, dass es sich um keine Domäne handelt, hier muss die lokale Sicherheitsrichtlinie für eine bestimmte Gruppe konfiguriert werden. Oder der Router muss gesagt bekommen, dass die MAC-Adresse des Rechners keinen Zugriff auf das Internet erhält.
Bitte warten ..
Mitglied: 48507
13.08.2010 um 11:50 Uhr
Ein Router ist für MAC-Adressen nicht zuständig, wenn, dann muss die (fest eingestellte) IP des Rechners geblockt werden, und hier braucht es schon eine Firewall.

Wenn es über lokale GPOs gehen soll, dann nur in dem Zweig Computerkonfiguration - dieser gilt dann aber systemweit.

Habe es selber noch nicht ausprobiert:

Führe gpedit.msc als Administrator aus.
Geh in den Zweig Benutzerkonfiguration.
Administrative Vorlagen - Windows Komponenten - Internet Explorer - Änderung der Proxyeinstellungen deaktivieren - "aktivieren".

Melde dich anschließend ab und dann den entsprechenden Benutzer an. Kann er die Änderung mit gpedit.msc wieder rückgängig machen? Wenn nicht - gut.

Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.
Bitte warten ..
Mitglied: franc
13.08.2010 um 12:50 Uhr
Zitat von 48507:
Diese Konfiguration ist natürlich wertlos, wenn andere Browser vorhanden sind.

Ja, sind vorhanden, nämlich Firefox und der ist für einen anderen Benutzer auf diesem Rechner im Einsatz.
Bitte warten ..
Mitglied: franc
13.08.2010 um 12:52 Uhr
Zitat von jayjay0911:
Aus seinem Beitrag von oben schließe ich, dass es sich um keine Domäne handelt...

Ja, es ist keine Domäne vorhanden.

... hier muss die lokale Sicherheitsrichtlinie für eine bestimmte Gruppe konfiguriert werden.

Aber wie?

Oder der Router muss gesagt bekommen, dass die MAC-Adresse des Rechners keinen Zugriff auf das Internet erhält.

Nein, das geht nicht, weil ein anderer Benutzer soll ja noch ins Netz kommen. So geht der Rechner ja dann gar nicht mehr ins Netz.
Bitte warten ..
Mitglied: DerWoWusste
13.08.2010 um 15:44 Uhr
Hi.

Sag mal eben, was an einem blinden Gateway nicht geradlinig ist. Für mich ist das geradlinig, es sei denn, Ihr braucht das Gateway für andere Zwecke.
Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit einem geplanten Task, der bei Logon startet.
Bitte warten ..
Mitglied: franc
13.08.2010 um 16:15 Uhr
Zitat von DerWoWusste:
Das Gateway könnte man abhängig vom Nutzernamen oder von Gruppenmitgliedschaften setzen/löschen, zum Beispiel mit
einem geplanten Task, der bei Logon startet.
Genau so habe ich das schon mal bei einem Rechner gemacht, mit netsh. Aber das mit dem Skript abhängig vom Nutzer ist eine gute Idee.
Kann aber der normale Nutzer das Gateway dann nicht selbst ändern? Kann man das dann irgendwo (?) per Richtlinie verbieten?
Bitte warten ..
Mitglied: DerWoWusste
13.08.2010 um 16:31 Uhr
Nein, der geplante Task arbeitet mit Systemrechten, der User hat hingegen kein Recht dazu, das Gateway zu ändern.
Mach es so: Erstell ein (bei Bedarf Domänen-) Anmeldeskript (gateway.bat). Dieses wird im Kontext des Benutzers unsichtbar ausgeführt. Inhalt von gateway.bat:
01.
if %username%==Sperrnutzername goto sperren 
02.
schtasks /run /tn Netshentsperrtask 
03.
goto end 
04.
:sperren 
05.
schtasks /run /tn Netshsperrtask 
06.
:end
Der netshsperrtask/netshentsperrtask sind dann Deine netsh-Skripte. Der Entsperrtask muss Ausführrechte für alle Nutzer bis auf den Sperrnutzer bieten. Der andere muss von allen ausführbar sein.
Damit
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Internetzugang nur über eine Netzwerkkarte bei Windows 7
Frage von bucheyWindows Netzwerk5 Kommentare

Hallo alle zusammen, ich habe eine etwas knifflige Anforderung, zerbreche mir damit nun schon einige Tage den Kopf und ...

Windows 7
Wie kann man ein Fenster in Windows 7 sperren?
Frage von grillinator95Windows 72 Kommentare

Wie kann man ein bestimmtes Fenster in einer Software sperren? Wie reden hier von Windows 7, gibt es dazu ...

Windows Userverwaltung
Benutzer mit bestimmten Attributen aus ActiveDirectory auslesen und einer Gruppe hinzufügen
gelöst Frage von roland123Windows Userverwaltung3 Kommentare

Guten Abend, wir haben bei unseren Benutzern im ADProfil deren Abteilungen hinterlegt. Nun möchte ich gerne, dass die Benutzer ...

Windows 10
Bestimmte Webseiten für bestimmte Anwendungen sperren
gelöst Frage von montemonteWindows 106 Kommentare

Hallo, gibt es eine Möglichkeit in Windows 10 bestimmte Webseiten, wie zum Beispeil mit der "hosts" Datei, zu sperren, ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 3 StundenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 4 StundenMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 11 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Kann man im KMS nachschauen , wieviele Clients den Key in Anspruch genommen haben
gelöst Frage von rainergugusWindows Server12 Kommentare

Hallo, wir haben einen KMS Windows 10 Key. Dieser ist ja W7 kompatibel. Aber unser Windows 7 Pool registriert ...