Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2003 Benutzer oder Gruppen vom Internet aussperren

Frage Microsoft Windows Server

Mitglied: PANagel

PANagel (Level 1) - Jetzt verbinden

04.01.2009, aktualisiert 15:23 Uhr, 4727 Aufrufe, 10 Kommentare

Hallo zusammen...

habe folgendes Problem:

Netzwerk mit ca. 20 User. Router für Internet und DHCP.
Einige User sollen nicht ins Internet kommen.

War schon am überlegen im Router bestimmte IPs zu sperren, aber wenn mal ein anderer am Rechner dran muss bringt das auch nicht viel.
Kann ich Win2003 als eine art Proxy laufen lassen der mit den Benutzerregeln arbeitet oder gibt es andere Lösungsansätze?

Mit freundlichen Grüßen; Peter
Mitglied: DerWoWusste
04.01.2009 um 15:39 Uhr
Userbasiertes Aussperren macht bei uns die Software SQUID auf Linux. Auf den Windows rechnern läuft dazu ein sogenannter IdentD-Dienst (Ident Daemon), der die Benutzerinfo samt IP übermittelt. Ohne Linux hab ich da zunächst keinen Tipp.

Warte, Du kannst natürlich Userbasiert den Gateway verbiegen, wenn das keine Nebenwirkungen (Routing benötigt) hat. Das könnte ein Loginscript erledigen, das mit netsh arbeitet. Dieses müsste jedoch mit hohen Rechten laufen. Letzteres ist möglich über runasspc, da werden hohe Rechte an Skripte übergeben, ohne dass das Kennwort sichtbar ist.
Bitte warten ..
Mitglied: Dani
04.01.2009 um 15:58 Uhr
Hi,
entweder n Linux-GW (Debian und Squid) aufsetzen oder eben unter Windows Microsoft ISA 2006 einsetzen - kostet ein bisschen Geld.

Warte, Du kannst natürlich Userbasiert den Gateway verbiegen, wenn das keine Nebenwirkungen (Routing benötigt) hat. Das könnte ein Loginscript erledigen, das mit netsh arbeitet.
Dieses müsste jedoch mit hohen Rechten laufen. Letzteres ist möglich über runasspc, da werden hohe Rechte an Skripte übergeben, ohne dass das Kennwort sichtbar ist.
Das kommt einer Hobbyadmintätigkeit gleich....das ist keine saubere Produktivlösung! Denn es wird der Tag kommen, wo du das verfluchst...


Grüsse,
Dani
Bitte warten ..
Mitglied: DerWoWusste
04.01.2009 um 16:07 Uhr
Wenn kein Gateway benötigt wird (außer zum Surfen), begründe bitte, was daran unsauber ist.
Bitte warten ..
Mitglied: Dani
04.01.2009 um 17:16 Uhr
Dann würde ich gerne wissen, wie du das mit DHCP lösen willst ohne an der Registry zu biegen?!
Bitte warten ..
Mitglied: DerWoWusste
04.01.2009 um 17:56 Uhr
Dani, dass sind Funktionalitäten, die kollidieren, das ist richtig. Begründe nun bitte aber, was daran unsauber ist.
Das umzubiegen ohne DHCP auf den Rechnern abzuschalten ist evtl. auch möglich. Ich hab schon auf netsh verwiesen, dass kann die aktuelle IP-Konfiguration dumpen und auch anpassen. Denkbar wäre, ein Skript zu nehmen, das dumpt, die Dumpdatei anpasst und wieder einliest.
Bitte warten ..
Mitglied: Dani
04.01.2009 um 18:16 Uhr
WArum hat der liebe Gott den Proxy erfunden. Aber für mich als Admin ist entscheidend:

  • Erstmal muss das Script her bzw. programmiert und getestet werden - denn im Produktivbetrieb sind Fehler schmerzhaft.
  • Bei 20 Clients musst du genau wissen, bei welchen User das Skript angewandt werden muss und wo nicht, d.h. du brauchst eine Art Tabelle. Beispiel: Es gibt einen Rechner A, daran arbeitet User A und User B. User B soll Zugriff ins Internet haben, User A nicht. Sprich es muss jedes Mal das Script vor den Amelden aufgerufen werden.
  • Das ist der ISt-Stand, bei sowas soll man aber auch in die Zukunft schauen - so wurde es mir beigebracht. Sprich soll nun ein kompletter Rechner nichts ins Internet kommen, musst du wieder rumstricken anfangen. ....

In der Zeit wo das implementiert wird, setze ich vorher noch n Kaffe auf, installiere bequem und einfach den Proxy, hole mir zwischen durch 2-3 Tassen, konfiguiere den Proxy fertig. Das Ganze ist in 20-30 Minuten fertig. Und wie gesagt, man kann eben schnell was ändern ohne wieder in das Scripting einzulesen oder lange überlegen zu müssen.
Warum meinst du setzt man "normalerweißer" Proxyies in den Firmen ein - egal wie viele MA?! Außerdem hast du so auch die Möglichkeit, Downloads von bestimmen Files, Websites, etc... zu sperren, ohne die DNS - Umleitungsmethode was eigentlich auch n Pfusch ist. Es muss ja nicht gleich der ISA sein, aber es würde sich anbieten. Man kann sowas auch komplett mit Linux koppeln (AD - Squid) - geht einwandfrei. Man brauch eben die Zeit, aber das liegt am Admin und dem Controlling.

Aber gut, nicht jeder will den einfachen Weg gehn... :-P


Grüsse,
Dani
Bitte warten ..
Mitglied: DerWoWusste
04.01.2009 um 18:35 Uhr
Also als Moderator solltest Du nicht so reden, für meinen Geschmack war das von oben herab. Du kannst meinem ersten Posting entnehmen, dass wir selber Squid einsetzen. Hat man keinen Plan davon und will auch keinen ISA kaufen, dann schaut mancher nach anderen Lösungen, vielleicht ist das beim Eröffner der Fall, dessen Posting bleibt abzuwarten, bevor Du weiter eiferst. Von einer Zuordnung wie User A auf Rechner A ja, aber auf Rechner B nein, war bislang nicht die Rede - aber auch das wäre sehr einfach.
Ich setzt Dir das Skript bei seinen 20 Nutzern inklusive Doku in weniger als 30 Minuten um, mal vorausgesetzt, dass wenigstens eine Domäne am Start ist, jede Wette. Auch gerne mit Ausnahmen wie "auf diesem Rechner gar nicht" usw.
Aber wenn evtl. sowieso kein DHCP auf den Rechnern eingesetzt werden muss, ist das mit dem Gateway rausnehmen doch wirklich kein Akt und unsauber? Seh ich nicht ein.
Bitte warten ..
Mitglied: Dani
04.01.2009 um 18:48 Uhr
Als Eifer würde ich das bezeichnen...es ist die bittere Realität, wo mich zu sowas veranlasst. Wir haben in den letzten Monaten etliche Netze saniert (15 bis 100 MA), wo man einfach bis zum abwickeln kein Geld ausgeben wollte und keiner bereit war etwas dazu zu lernen - d.h. keiner weder Controlling noch Admin wollte beigeben. Das probiere ich zu verhindern, weil eben sowas ganz schnell zur Gewohnheit werden kann, nur das will ich aufzeigen mehr nicht - welche Lösung er nimmt ist schließlich seine Sache.

Du kannst meinem ersten Posting entnehmen, dass wir selber Squid einsetzen
War nicht auf dich bezogen, sondern allgemein auf das Thema.


Grüsse,
Dani
Bitte warten ..
Mitglied: elCativo
05.01.2009 um 05:31 Uhr
Am einfachsten wäre es das ganze als Gruppenrichtlinie einzurichten. Für die Kollegen die nicht ins Internet sollen einfach eine extra OU anlegen und dort einen nicht existenten Proxy in die IE Konfiguration eintragen. Die GPO auf kein Vorrang setzen und das Problem ist erledigt.
Für Firefox findest du unter http://www.frontmotion.com/FMFirefoxCE/features.htm eine angepasste Version mit ADM Template so das es dort auch funktioniert.
Vorteil der Lösung ist das diese userspezifisch ist an jedem PC an dem sie angemeldet sind zieht und man keine Änderungen am Proxy durchführen muss.
Bitte warten ..
Mitglied: DerWoWusste
05.01.2009 um 18:36 Uhr
Klar, das geht für alle kontrollierbaren Browser, nicht aber für portable.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...