IT-EccO 10 Geschrieben 1. Juni 2010 Melden Geschrieben 1. Juni 2010 Hallo zusammen, ich unserer Netztwerkumgebung gibt es den ein oder anderen PC auf dem der Internetzugang gesperrt werden soll. Wir haben zwar die Lösung das Userbezogen der Internetzugang gesperrt ist(GPO im AD) jedoch soll die auf den Computer bezogen eingerichtet werden da dieser User an anderen PC die möglichkeit haben soll auf das Internet zuzugreifen. Die IP wird vom DHCP vergeben. Ich könnte zwar eine Feste IP vergeben und den Eintrag für das Gateway leer lassen aber diese Lösung ist nicht die optimale die von der IT-Abteilung gewünscht ist. Ich suche nach einer Möglichkeit, die z.B. durch eine GPO den Eintrag des Gateway entfernt/ändert. Hat mir jemanden eine Lösung wie ich an einzelnen Computern den Zugang ins Internet blockieren kann?? Gruß EccO Zitieren
marka 589 Geschrieben 1. Juni 2010 Melden Geschrieben 1. Juni 2010 Könnt Ihr in Eurer Firewall nicht IP-bezogen Hosts zum Internet freischalten? In unserer Watchguard ist es einerseits möglich, userbezogen Internetaccess zu gewähren, andererseits kann man auch Regeln definieren, anhand derer IP-Adressenbezogen der Internetzugang gesperrt ist. Dazu braucht man aber schon eine "anständige" Firewall... Zitieren
IT-EccO 10 Geschrieben 1. Juni 2010 Autor Melden Geschrieben 1. Juni 2010 Also ich weiss das eine Firewall im Einsatz ist aber leider nicht in wieweit diese sich konfigurieren lässt. Davon mal abgesehen bin ich nicht für den Support der Firewall zuständig :) Muss also schon im Rahmen meiner Möglichkeiten bleiben! Zitieren
foxhunter 10 Geschrieben 1. Juni 2010 Melden Geschrieben 1. Juni 2010 Quick 'n Dirty: Internet Explorer auf einen nicht vorhandenen Proxy umstellen und mittels Policy den Zugang auf die IE-Einstellungen blockieren. Es sollte aber auch über AD Gruppen möglich sein (sofern AD verwendet wird). Ich weiß allerdings nicht, wie sich der Rechner verhält, wenn Du den Zugriff für die Maschine über AD blockst, ihn aber wieder über den User-Account öffnest. Den Thread hier hast Du aber gesehen, oder? http://www.mcseboard.de/windows-server-forum-78/internetzugang-einiger-ips-unterbinden-166167.html Zitieren
Mike W 10 Geschrieben 1. Juni 2010 Melden Geschrieben 1. Juni 2010 foxhunters Lösung ist gut, in den Richtlinien den Zugang sperren mittels pseudoeinztrag des Internet Explores und Proxy.... Oder die Firewall dementsprechend per Richtlinie auf den Clients so einstellen, das diese kein Internet nutzen können Zitieren
IThome 10 Geschrieben 1. Juni 2010 Melden Geschrieben 1. Juni 2010 Hmm, gut ... und was ist mit dem Firefox, Opera usw. ? Oder Outlook Express ? Oder alles andere ausser dem Internetexplorer ? Die IP wird vom DHCP vergeben. Ich könnte zwar eine Feste IP vergeben und den Eintrag für das Gateway leer lassen aber diese Lösung ist nicht die optimale die von der IT-Abteilung gewünscht ist. Wenn die ne optimale Lösung haben wollen, dann müssen sie wohl oder übel über eine vernünftige Firewalllösung nachdenken. Die "Proxylösung" ist mindestens genau so ein Gurkenkram ... Zitieren
Mike W 10 Geschrieben 1. Juni 2010 Melden Geschrieben 1. Juni 2010 Firewall konfigurieren ;) Zitieren
Mike W 10 Geschrieben 1. Juni 2010 Melden Geschrieben 1. Juni 2010 aber Du kannst auch den Browser an den Clients vorgeben, Du kannst alles sperren bis auf den Explorer .... Zitieren
IT-EccO 10 Geschrieben 2. Juni 2010 Autor Melden Geschrieben 2. Juni 2010 AD ist im Einsatz und wir haben ja auch dem User über die Richtlinien den Zugang ins Internet gesperrt durch einen Pseudoeintrag für den Proxy. Somit hat dieser User, egal an welchem PC im LAN, keinen Internetzugang. Wir möchten aber den Zugang Computerbezogen sperren und nicht Userbezogen. Schliesslich gibt es ja auch div. protable Browser Apps die per USB-Stick etc. gestartet werden können. Gibt es denn überhaupt eine Möglichkeit den Computer über das AD den Zugang ins Internet zu verweigern?? Den Computer NICHT die User!!!! Zitieren
Dukel 461 Geschrieben 2. Juni 2010 Melden Geschrieben 2. Juni 2010 [...] Gibt es denn überhaupt eine Möglichkeit den Computer über das AD den Zugang ins Internet zu verweigern?? Den Computer NICHT die User!!!! Dafür ist das AD nicht gemacht, dafür gibts Proxys und Router. Zitieren
logicus 10 Geschrieben 3. Juni 2010 Melden Geschrieben 3. Juni 2010 Hallo wie wäre es Im einfach das Standardgateway in der Lanverbindung zu entfernen oder zu verbiegen ... gruss logicus Zitieren
marka 589 Geschrieben 3. Juni 2010 Melden Geschrieben 3. Juni 2010 @logicus: Was ist in einem gerouteten Netz mit mehreren Subnetzen? Da ist mit Kommunikation Ente, wenn kein DefaultGW angegeben ist. Einzige sinnvolle Lösung ist eine anständige Firewallconfig. Es stellt sich mir sowieso die Frage, warum PCs konkret gesperrt werden sollen. User wandern in der Regel nicht ständig von einem Arbeitsplatz zum anderen. Und wenn ein User, der eigentlich Internetberechtigt ist, sich an einem anderen Arbeitsplatz anmeldet, kann er halt auch da surfen. Die Personen, die nicht ins Internet dürfen, sind, egal, an welchem Platz sie sitzen, nicht berechtigt. Ich kenne keinen Fall, an dem rein hostbasiert das Internet zugelassen ist, ich kenne nur userbasierte Umgebungen. Und wenn ein User an einem Platz sitzt, an dem nicht gesurft werden darf, kann man die IP-Adresse des PCs ja exlizit in die Verbotsliste aufnehmen... Aber das setzt eine anständige Firewall voraus, und keine Heimrouter-Spielereien, wie sie gerne in kleineren Firmen zusammengeschustert werden... Zitieren
Mike W 10 Geschrieben 3. Juni 2010 Melden Geschrieben 3. Juni 2010 die Frage war ja, wie man das regeln kann das die Clients keinen Zugriff ins Internet bekommen, da wäre die Lösung mit dem Gateway der einfachste schnellste Weg , oder noch einfacher, Lokale Benutzerkonten und das Netzwerkkabel ziehen.... grins Zitieren
Jörg V. 10 Geschrieben 3. Juni 2010 Melden Geschrieben 3. Juni 2010 (bearbeitet) Was wäre denn mit GPO's in Verbindung mit 'nem WMI Filter? z.B. auf die MAC der NIC des jeweiligen Rechners angesetzt? DHCP technisch könnte man z.B. auch noch mit Optionsklassen arbeiten... Gruß Jörg bearbeitet 3. Juni 2010 von Jörg V. meine "Rechtsschreibung" ;-) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.