ISA 2004 - Benutzer werden bei Regeln nicht berücksichtigt

[larazza 10]

Hallo zusammen,

 

ich bin soeben dabei eine Beschränkung des Internetzugriffs für einige User in der Firma einzurichten.

 

Z.Z. haben alle gleiche (volle) Rechte für http, https und ftp.

Die Regel lautet also von inter -> exter für alle user (zulassen)

 

Jetzt wollte ich eine neue Regel über diesen Vollzugriff erstellen der heißt:

intern -> extern für user 1, 2 und 3 (verweigern)

 

Sobald die Regel aktiviert ist hat keiner mehr Zugriff aufs Internet. Auch nicht die normal Berechtigten.

Bei Überprüfung der Protokollierung habe ich festgestellt, das er beim Verweigern der ersten Internetregel keine Benutzer in der Spalte "Clientbenutzername" einträgt.

Daher blockiert er also alles.

Weiß jemand, warum er die Benutzer zwar über das ADS einlesen und in die Regel integrieren kann, aber diese bei der Überprüfung des Datenverkehrs nicht berücksichtigt wird?

 

Gruß,

Sebastian

[Cybquest 36]

Die sog. "SecureNAT" Clients werden nicht über Benutzernamen authentifiziert.

SecureNAT Clients sind die Rechner, die über das Default-Gateway z.B. auf den ISA kommen.

D.h. auf den Clientrechnern muß entweder der Firewall-Client installiert werden, oder wenigstens im IE der ISA als Proxy eingetragen werden. Dann funktioniert die Berechtigung auf Benutzerebene.

[larazza 10]

hallo,

 

also das mit dem eintragen läuft soweit, aber wenn ich jetzt bei mir z.b. auf eine website zugreife kommt im protokoll beim clientbenutzer "anonymous".

[Christoph35 10]

Du solltest die Regel so umstellen, dass nur auth. User zugelassen werden. Ich meine, Du könntest in der gleichen Regel auch sagen, dass die User 1,2 und 3 nicht surfen dürfen.

 

Connections zum ISA Server werden erstmal als Anonymous probiert und wenn der ISA dann sagt "ist nicht", wird ein neuer Verbindungsversuch mit Auth.-Daten gestartet.

 

Christoph

[larazza 10]

Funktioniert!

 

Vielen Dank