Poet

Falls es wen interessiert: Ich habe es nun folgendermaßen gelöst: @echo off echo Eingeloggt als %username% echo ------------------------------ rem rem Hier die User eintragen: rem if %username%==Administrator goto AN if %username%==user1 goto AN if %username%==user2 goto AN if %username%==user3 goto AN rem goto AUS :AN echo Internetzugriff wird aktiviert netsh interface ip set address "LAN-Verbindung" static 192.168.2.10 255.255.255.0 192.168.2.1 1 goto END :AUS echo Internetzugriff wird deaktiviert netsh interface ip set address "LAN-Verbindung" static 192.168.2.10 255.255.255.0 none :END Dieses Script als Geplanten Task beim Anmelden der Benutzer mit Administratorrechten ausführen lassen. Alle User, die oben eingetragen sind bekommen nun einen Gateway gesetzt und somit Internetzugriff. Für alle Anderen wird der Zugriff gesperrt bzw der Gateway entfernt. Da den Benutzern von Haus aus das Ändern der Einstellungen verboten ist, können sie es somit auch nicht umgehen. MfG Chris

Übrigens habe ich testweise den Inhalt der scripts getauscht, dann funktioniert es reibungslos. Allerdings erklärt es immernoch nicht das seltsame Verhalten bzw. das gespiegelte Verhalten. Ich bin für jeden noch so kleinen Tip dankbar!

Hallo zusammen. Ich habe folgendes Problem: Ich habe einen PC mit XP Prof. SP3, auf dem 6 Benutzer ohne Adminrechte eingerichtet sind. 2 der Benutzer sollen Internetzugriff bekommen, 4 nicht. Kein Internet heißt soviel wie keine Updates, kein Browsen, eben keine Möglichkeit irgendwie eine Kommunikation aufzubauen. Trotzdem soll zugriff auf Netzlaufwerke funktionieren. Wichtig ist: Dies soll mit Bordmitteln realisiert werden und eventuell sollen später einzelne Benutzer ebenfalls Internet bekommen! Ich habe bereits einiges gefunden zum Thema netsh und eintragen/entfernen eines Gateways, jedoch kann man netsh eben nicht als Benutzer ausführen. Zumindest nicht über die gpedit oder Logonscripte usw. Ich habe nun die Idee gehabt dies als Geplanten Task zu realisieren und diese Tasks beim Anmelden der Benutzer mit Administratorenrechten ausführen zu lassen. Soweit funktioniert auch alles, nur seltsamerweise genau spiegelverkehrt! Die scripts sehen folgendermaßen aus: gateway-an.cmd netsh interface ip set address "LAN-Verbindung" static 192.168.0.10 255.255.255.0 192.168.0.1 1 gateway-aus.cmd netsh interface ip set address "LAN-Verbindung" static 192.168.0.10 255.255.255.0 none User aus der Benutzergruppe "inetusers" haben lesen/ausführen auf *an.cmd und verweigern auf *aus.cmd. User aus der Benutzergruppe "noninetusers" haben lesen/ausführen auf *aus.cmd und verweigern auf *an.cmd. Die Berechtigungen habe ich sowohl für die Files selber gesetzt, als auch für die 2 Tasks. Logge ich mich nun mit einem User ein, der Internet haben darf, dann wird jedoch kein Gateway gesetzt, man sieht aber in den Geplanten Tasks den richtigen Task für an. Logge ich mich allerdings mit einem ein, der kein Internet haben darf, dann bekommt dieser durch das Script einen Gateway zugewiesen und hat Internet in den Tasks ist jedoch nur der Task aus sichtbar. Also Fazit nochmal verkürzt: UserInternet: Task GWan -> Gateway wird gelöscht UserNONInternet: Task GWaus -> Gateway wird gesetzt Ich bin mit meinem Latein ziemlich am Ende und kann mir Partout nicht erklären wieso die Funktionen verkehrtherum sind, die Scripte und Berechtigungen jedoch Logisch so nicht funktionieren. Ich habs nun schon an 3 verschiedenen PCs getestet und überall das selbe Ergebnis. Hat jemand dafür eine Erklärung und evtl. lust das selbst mal zu testen? Danke im Vorraus, Chris

Er setzt Hostnamen in IPs um und umgekehrt. Hat ein PC nen Hostnamen (z.b. google.de) als Ziel fragt er beim DNS an und bekommt die IP mitgeteilt, oder irre ich? ;) Im endeffekt ist es ein Labornetz, da ich bis auf Sekundären DNS im Router + Fileserver nichts am Netz verändert habe. Das Werkbanknetz teste ich im moment mit nur einem PC, das eigentliche Werkbanknetz besteht immernoch so, wie es war, da habe ich nichts angefasst. Die Grundlagen fehlen nicht, eher das fortgeschrittene. Und genau deshalb habe ich in meinem ersten Posting auch gleich geschrieben, dass ich mich weiterbilden möchte, da ich in meiner Firma nicht wirklich die Möglichkeiten habe bzw dazu komme. Wo ist denn der 2. Vorschlag? Hab den anscheinend übersehen oder meintest du den Route befehl? Es soll kein Zugriffsschutz werden, sondern 2 getrennte Netze, die untereinander nicht miteinander kommunizieren können, aber einen gemeinsamen Server und eine gemeinsame Internetverbindung nutzen.

Ich habe "Testweise" mal den DNS eingerichtet, weil ich gehofft hab, dass dann der Fileserver ansprechbar ist bzw antworten kann. Soweit scheint das ja auch geklappt zu haben. Nur durch die Sekundäre DNS eintragung im WAN-Router leitet der nun alle Firmenpakete ins Werkbanknetz und nicht wie gewünscht nur den Internetverkehr. Daraufhin hab ich versucht das Komplette 201.x Subnetz bis auf WAN-Router und Fileserver zu Sperren. nur ist es mit "Boardmitteln" anscheinend nicht möglich subnetze zu sperren, sondern nur alles bis auf die regeln, womit dann wiederum keine Internetverbindungen durch kommen.

Im ersten Posting war genau das meine Frage. Bisher hab ichs wie du schon sagtest mit der 100.1 versucht. Dem Fileserver habe ich die 192.168.201.178 als Sekundären DNS gegeben also die Adresse des Gateways. Die Kommunikation zwischen Fileserver<->Werkbank und Internet<->Werkbank klappt. Nur kann man anscheinend keine kompletten Subnetze ausschliessen, sodass die anderen PCs in 201.x keine Verbindung bekommen. Sobald ich nur die beiden Verbindungen zulasse werden ja auch das Internet komplett ausgeschlossen.

Ich versuch das mal Grob zu erklären: Firmennetz: Normales arbeiten wie z.b. Angebote, Rechnungswesen, Buchhaltung usw. Werkbanknetz: Vorbereiten von Kundensystemen, die dann 1:1 zum Kunden "gestellt" werden. Reparatur von Kundenrechnern u.ä. Der Betriebsleiter hat keinerlei Ahnung von IT. Ich hab im moment recht wenig zu tun, daher versuche ich die vorhandenen Arbeitsabläufe zu Optimieren und da kam mir eben die Idee die Netze zu trennen und nicht immer (sobald patientendaten eingespielt werden) mit USB platten zu hantieren. Rechtlich gesehen ist das mit den Daten nicht relevant und es würde auch mit einem Netz gehen, nur möchte die Geschäftsleitung nicht, dass Mitarbeiter ausserhalb der IT-Abteilung auf solche Daten zugreifen können. Der ISP über den wir Laufen ist ein Spezieller ISP für Medizinische Internetzugänge, also auch aus seiten Internet ist rechtlich gesehen alles im Grünen bereich.

Ich meinte Netzwerkmaske nicht subnetz, entschuldige.

Die Systeme hier sind soweit sicher, nur wenn solche sachen wie Gestern mit McAfee auftreten und gerade eine Virenschleuder hier steht, wäre das eine 2. Barriere. Link zum Heise Artikel Dazu kommen noch Datenbanken auf den Servern, die unter anderem Medizinische Patientendaten enthalten und von den Mitarbeitern hier nicht eingesehen werden dürfen. Die Server im Werkbanknetz haben Statische IPs ohne DNS und Gateway und sind momentan nur während der Grundinstallation im Firmennetz. Danach wird alles mit USB Medien gemacht und das Stresst auf die Dauer.

Hallo und Danke für die erste Antwort, Leider kann ich die Adressen der LANs nicht ändern, da wir Überregional über VPN mit einer anderen Zweigstelle verbunden sind und das so beibehalten werden soll. Das Werkbanknetz muss ebenfalls beibehalten werden, da die Komplette Konfiguration der Kundensystem dort statt findet und diese so beim Kunden einfach aufgestellt werden. Im Werkbanknetz laufen Server mit dem gleichen Namen wie im Firmennetz. Zudem soll so ein zusätzlicher schutz vor Viren u.ä. gewährleistet werden, wenn z.b. ein verseuchter Rechner vom Kunden zwingend ins Netz gestellt werden muss. Dazu kommt noch, dass der Router ein LanCom Hardware Router ist, den ich nicht mit einer 2. Schnittstelle ausrüsten kann. Wäre es evtl. möglich das Werkbanknetz mit einem anderen Subnetz zu betreiben? Gruß Chris

Hallo zusammen, da ich noch Azubi bin und ich mich doch etwas weiter bilden möchte, als das Spezifische in der Firma, strukturiere ich gerade das Firmennetz etwas um. Allerdings hab ich vorab noch einige Fragen. Ziel des ganzen ist das Trennen des Werkbanknetzes vom Firmennetz. Untereinander darf bis auf 2 Ausnahmen keine Kommunikation zugelassen werden. 1. Der Fileserver im Firmennetz (Diverse Software und Treiber per Netzfreigabe) muss im Werkbanknetz erreichbar sein. 2. Internetverbindung in beiden Netzen. Hier einmal die Zielkonfiguration: Zur Verfügung stehen Server 2003 & R2 oder Server 2008 Der Server ist mit Raid 1 und 2 Netzwerkkarten ausgestattet und von der Leistung her ausreichend. Drauf laufen soll später ein 2. Fileserver, DHCP und DNS für das Werkbanknetz. Ich habe bereits einiges Versucht, bin aber bisher immer daran gescheitert die Netze komplett zu trennen und das Internet/den Fileserver trotzdem durch den Gateway zu lassen. Hier nun erstmal meine ersten Fragen: Ist es überhaupt so möglich, wie ich es mir vorstelle? Welchen Gateway/DNS muss der DHCP im Werkbanknetz zuweisen? Was ist der unterschied zwischen Ein- und Ausgehendem Filter der 1. und 2. Netzwerkkarte. Liege ich richtig damit, dass ich lieber kein NAT nutzen sollte? Ich bin für erste Hilfestellung dankbar. LG Chris