Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2003 Benutzer oder Gruppen vom Internet aussperren

Frage Microsoft Windows Server

Mitglied: PANagel

PANagel (Level 1) - Jetzt verbinden

04.01.2009, aktualisiert 15:23 Uhr, 4758 Aufrufe, 10 Kommentare

Hallo zusammen...

habe folgendes Problem:

Netzwerk mit ca. 20 User. Router für Internet und DHCP.
Einige User sollen nicht ins Internet kommen.

War schon am überlegen im Router bestimmte IPs zu sperren, aber wenn mal ein anderer am Rechner dran muss bringt das auch nicht viel.
Kann ich Win2003 als eine art Proxy laufen lassen der mit den Benutzerregeln arbeitet oder gibt es andere Lösungsansätze?

MFG; Peter
Mitglied: DerWoWusste
04.01.2009 um 15:39 Uhr
Userbasiertes Aussperren macht bei uns die Software SQUID auf Linux. Auf den Windows rechnern läuft dazu ein sogenannter IdentD-Dienst (Ident Daemon), der die Benutzerinfo samt IP übermittelt. Ohne Linux hab ich da zunächst keinen Tipp.

Warte, Du kannst natürlich Userbasiert den Gateway verbiegen, wenn das keine Nebenwirkungen (Routing benötigt) hat. Das könnte ein Loginscript erledigen, das mit netsh arbeitet. Dieses müsste jedoch mit hohen Rechten laufen. Letzteres ist möglich über runasspc, da werden hohe Rechte an Skripte übergeben, ohne dass das Kennwort sichtbar ist.
Bitte warten ..
Mitglied: Dani
04.01.2009 um 15:58 Uhr
Hi,
entweder n Linux-GW (Debian und Squid) aufsetzen oder eben unter Windows Microsoft ISA 2006 einsetzen - kostet ein bisschen Geld.

Warte, Du kannst natürlich Userbasiert den Gateway verbiegen, wenn das keine Nebenwirkungen (Routing benötigt) hat. Das könnte ein Loginscript erledigen, das mit netsh arbeitet.
Dieses müsste jedoch mit hohen Rechten laufen. Letzteres ist möglich über runasspc, da werden hohe Rechte an Skripte übergeben, ohne dass das Kennwort sichtbar ist.
Das kommt einer Hobbyadmintätigkeit gleich....das ist keine saubere Produktivlösung! Denn es wird der Tag kommen, wo du das verfluchst...


Grüsse,
Dani
Bitte warten ..
Mitglied: DerWoWusste
04.01.2009 um 16:07 Uhr
Wenn kein Gateway benötigt wird (außer zum Surfen), begründe bitte, was daran unsauber ist.
Bitte warten ..
Mitglied: Dani
04.01.2009 um 17:16 Uhr
Dann würde ich gerne wissen, wie du das mit DHCP lösen willst ohne an der Registry zu biegen?!
Bitte warten ..
Mitglied: DerWoWusste
04.01.2009 um 17:56 Uhr
Dani, dass sind Funktionalitäten, die kollidieren, das ist richtig. Begründe nun bitte aber, was daran unsauber ist.
Das umzubiegen ohne DHCP auf den Rechnern abzuschalten ist evtl. auch möglich. Ich hab schon auf netsh verwiesen, dass kann die aktuelle IP-Konfiguration dumpen und auch anpassen. Denkbar wäre, ein Skript zu nehmen, das dumpt, die Dumpdatei anpasst und wieder einliest.
Bitte warten ..
Mitglied: Dani
04.01.2009 um 18:16 Uhr
WArum hat der liebe Gott den Proxy erfunden. Aber für mich als Admin ist entscheidend:

  • Erstmal muss das Script her bzw. programmiert und getestet werden - denn im Produktivbetrieb sind Fehler schmerzhaft.
  • Bei 20 Clients musst du genau wissen, bei welchen User das Skript angewandt werden muss und wo nicht, d.h. du brauchst eine Art Tabelle. Beispiel: Es gibt einen Rechner A, daran arbeitet User A und User B. User B soll Zugriff ins Internet haben, User A nicht. Sprich es muss jedes Mal das Script vor den Amelden aufgerufen werden.
  • Das ist der ISt-Stand, bei sowas soll man aber auch in die Zukunft schauen - so wurde es mir beigebracht. Sprich soll nun ein kompletter Rechner nichts ins Internet kommen, musst du wieder rumstricken anfangen. ....

In der Zeit wo das implementiert wird, setze ich vorher noch n Kaffe auf, installiere bequem und einfach den Proxy, hole mir zwischen durch 2-3 Tassen, konfiguiere den Proxy fertig. Das Ganze ist in 20-30 Minuten fertig. Und wie gesagt, man kann eben schnell was ändern ohne wieder in das Scripting einzulesen oder lange überlegen zu müssen.
Warum meinst du setzt man "normalerweißer" Proxyies in den Firmen ein - egal wie viele MA?! Außerdem hast du so auch die Möglichkeit, Downloads von bestimmen Files, Websites, etc... zu sperren, ohne die DNS - Umleitungsmethode was eigentlich auch n Pfusch ist. Es muss ja nicht gleich der ISA sein, aber es würde sich anbieten. Man kann sowas auch komplett mit Linux koppeln (AD - Squid) - geht einwandfrei. Man brauch eben die Zeit, aber das liegt am Admin und dem Controlling.

Aber gut, nicht jeder will den einfachen Weg gehn... :-P


Grüsse,
Dani
Bitte warten ..
Mitglied: DerWoWusste
04.01.2009 um 18:35 Uhr
Also als Moderator solltest Du nicht so reden, für meinen Geschmack war das von oben herab. Du kannst meinem ersten Posting entnehmen, dass wir selber Squid einsetzen. Hat man keinen Plan davon und will auch keinen ISA kaufen, dann schaut mancher nach anderen Lösungen, vielleicht ist das beim Eröffner der Fall, dessen Posting bleibt abzuwarten, bevor Du weiter eiferst. Von einer Zuordnung wie User A auf Rechner A ja, aber auf Rechner B nein, war bislang nicht die Rede - aber auch das wäre sehr einfach.
Ich setzt Dir das Skript bei seinen 20 Nutzern inklusive Doku in weniger als 30 Minuten um, mal vorausgesetzt, dass wenigstens eine Domäne am Start ist, jede Wette. Auch gerne mit Ausnahmen wie "auf diesem Rechner gar nicht" usw.
Aber wenn evtl. sowieso kein DHCP auf den Rechnern eingesetzt werden muss, ist das mit dem Gateway rausnehmen doch wirklich kein Akt und unsauber? Seh ich nicht ein.
Bitte warten ..
Mitglied: Dani
04.01.2009 um 18:48 Uhr
Als Eifer würde ich das bezeichnen...es ist die bittere Realität, wo mich zu sowas veranlasst. Wir haben in den letzten Monaten etliche Netze saniert (15 bis 100 MA), wo man einfach bis zum abwickeln kein Geld ausgeben wollte und keiner bereit war etwas dazu zu lernen - d.h. keiner weder Controlling noch Admin wollte beigeben. Das probiere ich zu verhindern, weil eben sowas ganz schnell zur Gewohnheit werden kann, nur das will ich aufzeigen mehr nicht - welche Lösung er nimmt ist schließlich seine Sache.

Du kannst meinem ersten Posting entnehmen, dass wir selber Squid einsetzen
War nicht auf dich bezogen, sondern allgemein auf das Thema.


Grüsse,
Dani
Bitte warten ..
Mitglied: elCativo
05.01.2009 um 05:31 Uhr
Am einfachsten wäre es das ganze als Gruppenrichtlinie einzurichten. Für die Kollegen die nicht ins Internet sollen einfach eine extra OU anlegen und dort einen nicht existenten Proxy in die IE Konfiguration eintragen. Die GPO auf kein Vorrang setzen und das Problem ist erledigt.
Für Firefox findest du unter http://www.frontmotion.com/FMFirefoxCE/features.htm eine angepasste Version mit ADM Template so das es dort auch funktioniert.
Vorteil der Lösung ist das diese userspezifisch ist an jedem PC an dem sie angemeldet sind zieht und man keine Änderungen am Proxy durchführen muss.
Bitte warten ..
Mitglied: DerWoWusste
05.01.2009 um 18:36 Uhr
Klar, das geht für alle kontrollierbaren Browser, nicht aber für portable.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Geräte vom Internet aussperren
Frage von DragstarLAN, WAN, Wireless10 Kommentare

Guten Tag, ich benutze bei mir zu Hause ein ziemliches Sammelsurium von netzwerkfähigen Geräten: 3 Windows PC's/Laptop, 2 Linux ...

Windows Userverwaltung
Authentifizierte Benutzer in Gruppe Benutzer auch auf Server
gelöst Frage von KMUlifeWindows Userverwaltung12 Kommentare

Hallo zusammen Eventuell ist dies eine Freitagsfrage und ich stehe auf dem Schlauch aber was solls ;-). Unter Windows ...

Windows Server
Windows Server 2003 - Datei Sicherheit - ALLE Gruppen und Benutzer gelöscht
Frage von Annex31Windows Server7 Kommentare

Hallo, habe heute unabsichtlich bei einem File alle Berechtigungen gelöscht, wollte eigentlich nur eine Gruppe löschen Also wenn ich ...

Windows Userverwaltung
Speicherort für Benutzer und Gruppen in AD
Frage von lcer00Windows Userverwaltung1 Kommentar

Hallo zusammen, gibt es eine Empfehlung, wo man nicht-personen-Benutzer, Globale und Domänenlokale Gruppen ablegt? Zum Beispiel Benutzer für Dienste? ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 12 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 15 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...