Internetnutzung nur für Domänen-Benutzer

[RogerG781 22]

Hi Leute,

habe folgendes Problem. Habe hier eine Domäne an der mehrere User angemeldet sind. Es handelt sich um ein relativ kleines Netz mit ca. 10 Usern. So, da nun die IP-Adressen per DHCP vergeben werden ist es zur Zeit für jeden, der eine erhält, möglich im Internet zu surfen. Ich möchte das jetzt soweit einschränken, dass nur noch authentifizierte Benutzer das Internet nutzen können. Dazu möchte ich aber die Bordmittel von Windows2003Server nutzen und nicht noch zusätzlich ein Proxy dazwischen schalten, wo sich die User nochmal authentifizieren müssen. Letztendlich soll es bei einem Anmeldevorgang bleiben.

Kennt ihr da vielleicht eine Möglichkeit? :D

[c0smic 12]

Hi Leute,

habe folgendes Problem. Habe hier eine Domäne an der mehrere User angemeldet sind. Es handelt sich um ein relativ kleines Netz mit ca. 10 Usern. So, da nun die IP-Adressen per DHCP vergeben werden ist es zur Zeit für jeden, der eine erhält, möglich im Internet zu surfen. Ich möchte das jetzt soweit einschränken, dass nur noch authentifizierte Benutzer das Internet nutzen können. Dazu möchte ich aber die Bordmittel von Windows2003Server nutzen und nicht noch zusätzlich ein Proxy dazwischen schalten, wo sich die User nochmal authentifizieren müssen. Letztendlich soll es bei einem Anmeldevorgang bleiben.

Kennt ihr da vielleicht eine Möglichkeit? :D

 

Wie waers mit ner Gruppenrichtlinie wo du den betreffenden Usern, die nicht ins Netz duerfen einfach kein Gateway mitgibst?

 

Gruss

c0sMiC

[RogerG781 22]

Das kann ich mit einer Gruppenrichtllinie erreichen? Wäre schon einmal ein erster Schritt, werd gleich mal schauen.

Probelm dabei ist leider, dass die User aus gewissen Gründen Adminrechte auf Ihren Systemen haben und somit, das Gateway selbt eintragen könnten.

[c0smic 12]

Das kann ich mit einer Gruppenrichtllinie erreichen? Wäre schon einmal ein erster Schritt, werd gleich mal schauen.

Probelm dabei ist leider, dass die User aus gewissen Gründen Adminrechte auf Ihren Systemen haben und somit, das Gateway selbt eintragen könnten.

 

Wenn sie natuerlich Adminrechte haben, und dazu noch das Wissen besitzen, wie sie ein Gateway eintragen koennen (und dazu die IP bekannt ist), ist jede Richtlinie eigentlich machtlos.

 

Gruss

c0sMiC

 

PS: Aber prinzipiell ist ziemlich viel moeglich mit GPOs. Benutz mal die Forensuche, da gabs letztens erst wieder n Thread wo ein Link zu nem Excel Sheet war, wo alle Moeglichkeiten der GPOs aufgelistet waren.

[RogerG781 22]

Hmm, hab da noch ne Frage. Besteht denn die Möglichkeit, dem DHCP mitzuteilen, dass er nur IP-Adressen an Clients verteilen soll, die mit ihrem Computerkonto in der ADS eingetragen sind? Und vielleicht noch mit der Beschränkung, dass dieses aktiviert sein muss?

Das wäre eigentlich ne Lösung. Schon mal danke!

[Wurzerl 10]

Du kannst unter den Eigenschaften des DHCP-Servers eine Benutzerklasse anlegen und dann dem Client mit ipconfig /setclassid diese Benutzerklasse zuweisen. (Dies könnte auch über eine selbstdefinierten .adm funktionieren)

 

Dann in der Bereichsverwaltung des DHCP-Servers die Vergabe eines Gateways bzw. überhaupt die Vergabe von IP-Adressen der definierten Benutzerklasse statt der Standardbenutzerklasse zu gestatten.

 

Damit erhalten nur die von Dir ausgewählten Rechner eine Lease, während alle anderen draussen bleiben.

[RogerG781 22]

Hab ich auch ne Möglichkeit das auf Reservierte Mac-Adressen anzuwenden?

Hab mir das eben mal angesehen mit den Benutzerklassen, scheint ja ziemlich kompliziert zu sein oder?:-)

[Wurzerl 10]

Mit reservierten MAC-Adressen zu arbeiten, ist auch eine Möglichkeit, doch scheint mir der administrative Aufwand zu hoch zu sein, da der Eintrag ziemlich zeitaufwendig ist.

 

Kommt natürlich drauf an, wieviele Rechner Du hast.

[RogerG781 22]

Mit reservierten MAC-Adressen zu arbeiten, ist auch eine Möglichkeit, doch scheint mir der administrative Aufwand zu hoch zu sein, da der Eintrag ziemlich zeitaufwendig ist.

 

Kommt natürlich drauf an, wieviele Rechner Du hast.

Hmm, hab so um die 10Clients. Vielleicht 15. Mehr sind es garnicht. Ist zu Testzwecken. Kannst du mir vielleicht ein Tip geben, wie ich dem DHCP mitteilen kann, nur IP-Adressen an eingetragene MAC-Adressen auszugeben?

Wäre klasse:-)

[lefg 276]

Hallo,

 

ein Admin ist ein Admin ist ein Admin.

 

Ein Benutzer als Mitglied einer Administratorengruppe kann jederzeit die Netzwerk- und TCP/IP-Konfiguration ändern. Er kann auch eine Umstellung von dynamische auf statische Adressierung vornehmen. Er kann alles ändern.

Ein Versuch, eine Verweigerung durch ein Nichadressieren eines Gateways zu erreichen, ist schon für Kids eine Herausforderung zu Umgehen.

Ausserdem würde die Einstellung den Rechner betreffen und nicht den User. Benutzt ein für das Internet authorisierter User den Rechner, würde(müsste) er wohl eine Umstellung vornehmen. Stellt er das hinterher wieder zurück?

Man könnte versuchen das Ganze hinzutricksen mit Loginskripten oder abhängigen Startskripen, letztendlich kann ein Admin das alles aushebeln. Der Aufwand, die Sache wasserdicht zu machen, ist doch wohl grösser als einen Proxy oder eine Zugangskontrollsoftware zu benutzen.

 

Eine effektive Zugangssperre/-kontrolle für das Internet ist wohl nur am Router möglich.

 

Gruß

Edgar