Jump to content

Brauche Hilfe bei den Gruppenrichlinien

DennisB.

Von DennisB.
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

DennisB. Rookie

DennisB.   0

Geschrieben
Geschrieben

Guten Tag,

 

ich bin noch recht neu im Server-Bereich und bräuchte einmal eure Hilfe zum Thema Gruppenrichtlinien.

   

Problembeschreibung: bei uns in der Schule werden in letzter Zeit von Schülern Ordner versteckt die vorher mit allerhand Datenmüll vollgestopft werden. Letzte Woche hatten wir noch 4GB freien Speicher. Nachdem wir die versteckten Ordner ausfindig gemacht und gelöscht hatten haben wir nun wieder 170GB. Damit uns das in Zukunft nicht wieder passiert wollen wir den Schülern die Rechte zum verstecken der Ordner nehmen. Außerdem wollen wir verhindern, dass die Schüler *.exe-Dateien aus dem Internet herunterladen können.

 

1. Gibt es eine Möglichkeit über die Gruppenrichtlinien zu verhindern das Schüler die Ordner-/Datei- Attribute verändern?

2. Gibt es eine Möglichkeit über die Gruppenrichtlinien zu verhindern das Schüler *.exe-Dateien aus dem Internet runterladen?

 

Gruß DennisB.

 

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Hallo Dennis, ein Willkommen am Board :)

 

Grundsatz: Gruppenrichtlinien haben nichts mit (Benutzer)Sicherheitsgruppen zu tun.

 

Das Thema Gruppenrichtlinen ist recht komplex, ich verzichte deshalb hier auf Erläuterungen, verweise stattdessen auf die Suchfunktion hier am Board und auf Gruppenrichtlinien.de.

 

Das Schüler Ordner verstecken konnten vor dir oder sonstwem, dass liegt wohl an einer Einstellung des betrachtenden Explorers. Zum Betrachten und Darstellen der Belegung von Speicher wie HD, Cards, empfehle ich Treesize.

 

Zum Verhindern von unerwünschten Downloads und für die Kontrolle des Internetzuganges empfehle ich den Schulrouter Plus mit Schulfiler Plus(Lizenz) oder den IPCop(kostenlos).

bearbeitet von lefg
Link zu diesem Kommentar
testperson Grand Master

testperson   1.543

Geschrieben
Geschrieben

Hi,

 

zum Punkt 1) Sollten eher NTFS Berechtigungen zum Ziel führen. Einfach "Attribute schreiben" verweigern. Das solltest du aber vorher testen, nicht das danach irgendwas anderes nicht mehr passt. Ggfs. hilft es auch auf den Freigaben Kontingente einzurichten.

 

Zu Punkt 2) Wäre wie lefg schreibt ein Proxy / eine Firewall eine Lösung.

 

Gruß

Jan

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

2. Gibt es eine Möglichkeit über die Gruppenrichtlinien zu verhindern das Schüler *.exe-Dateien aus dem Internet runterladen?

Auch wenn Du das mittels Proxy und/oder FW schaffst, können die Benutzer trotzdem noch EXEn mitbringen und ausführen. Damit das nicht passiert, solltest Du dir das anschauen: http://home.arcor.de/skanthak/safer.html Damit stellst Du sicher, dass die Benutzer nur noch EXEn in %windir% und/oder %programfiles% ausführen können. Und nur der Admin kann die EXEn dorthin bringen.

Link zu diesem Kommentar
DennisB. Rookie

DennisB.   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Vielen Dank schon Mal für die Antworten.

 

Zu 1.: Ich werde mir das Thema NTFS-Berechtigungen mal näher anschauen, dass hört sich so an als wenn das genau das ist was ich suche.

 

Zu 2.: Den Schulrouter Plus mit Schulfiler Plus(Lizenz) haben wir bei uns im Einsatz. Allerdings ist der download von *.exe-Dateien schon gesperrt, trozdem ist es möglich diese Dateien herunter zu laden.

 

Ich habe sowieso den Eindruck, dass der Schulrouter nicht mehr richtig funktioniert. Wir müssen den Schulfilter häufiger Mal neustarten, da er sonst den Internetverkehr ganz sperrt. Nach dem Neustart funktioniert es wieder. Außerdem finde ich es komisch, dass wenn ich "xxx" in die Google-Suche eingebe und dann auf Bilder gehe, er mir allerhand Nackte Haut zeigt. sollte er das nicht eigentlich auch rausfiltern? Den Links hinter den Bildern kann ich dann jedoch nicht folgen, die werden geblockt.

 

Der Schulrouter soll aber dieses Jahr noch gegen eine Sophos UTM 220 mit Sophos Full Guard Subscription ersetzt werden. Angeblich soll man damit mehr Möglichkeiten haben.

 

@sunny61:

Der Tipp ist gut und den Link habe ich mir gespeichert und werde den mal durchgehen.

 

Ic habe auch den Eindruck, dass ein oder mehrere Schüler an die Passwörter gekommen sind. In der Firewall waren die Ports für "Couter Strike" freigeschaltet und im Schulfilter stand "www.korfucafe.com" in der Whitelist. Ich weiß jetzt nicht wie lange das schon so ist, da ich noch nicht so lange dabei bin. Habe aber vorsichtshalber mal sämtliche Passwörter geändert.

 

Gruß Dennis

bearbeitet von DennisB.
Link zu diesem Kommentar
tastendruecker Proficient

tastendruecker   10

Geschrieben
Geschrieben (bearbeitet)

Die Sophos UTM Reihe kann ich guten Gewissens empfehlen.

Haben davon schon mehrere im Einsatz - gerade im schulischen Umfeld.

Was auch super interessant ist, wenn ihr ne Sophos Full Guard Subscription habt, ist die Wireless-Security :-)

Und die Web Protection / Proxy funktioniert super. Gerade was verschiedene Proxy-Profile angeht inkl. Applicaton Control.

 

Für Schulen sind die Kosten für die SOPHOS UTM mit FG-Sub. überschaubar.

bearbeitet von tastendruecker
Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Ist denn für das Schulfilter Plus die Lizenz noch gültig oder abgelaufen?

 

Ist die Hardware des Gerätes noch in Ordnung? Sonst überlege, auf eine andere Hardware zu installieren, die Quadcard mitnehmen. Oder gleich umsteigen auf IPCop oder Sophos. Der IPCop ist sehr schnell installiert und konfiguriert, es gibt dafür ein Forum.

 

Nun, falls es den Schülern tatsächlich gelungen sein sollte, dann liegt es am Admin oder Lehrer etc. Oder?

 

Das Filter ist ein doch wohl ein URL-Filter, es kann keine Bilder besehen und interpretieren.

 

Ist es gesichert ist, das eine exe heruntergeladen wurde, hast Du es getestet? Dann war wohl das Filter deaktiviert, nicht oder falsch konfiguriert. Falls eine exe gepackt und das Package mit einem Kennwort versehen, ob das Filter die exe noch erkennen kann?

 

Nun, es gibt keine Gruppenrichtlinie zum Verhindern des Downloads von exe, prinzipiell gibt es die Möglichkeit zu Verhindern des Ausführens von bestimmten exe oder nur bestimmte exe ausführen zu lassen. Alle in allem eine etwas komplizierte und aufwändige Sache, entweder lückenhaft oder zu sehr begrenzend.

bearbeitet von lefg
Link zu diesem Kommentar
tastendruecker Proficient

tastendruecker   10

Geschrieben
Geschrieben

Wie @lefg schreibt wäre auch der IPCop eine gute Alternative.

 

Wir haben diesen auch im Einsatz. Wenn die Möglichkeit besteht nehmen wir aber lieber eine Appliance von SOPHOS.

Quasi alles aus einem Guß. Beim IPCop, meiner Erfahrung nach, muss man stark auf die Hardware-Kompatibiliät achten.

Und der Funktionsumfang ist nicht ganz so hoch - man muss aber fairerweise dazu sagen das es diese Lösung auch umsonst gibt.

 

Du solltest einfach wissen welche Bereich Du alle abdecken möchtest.

 

Letzendlich eine Frage des Geldes.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Dem Verantwortlichen wurden die Lizenzen für das Schulfilter Plus zu teuer, es wurde auf der Hardware des Schulrouters Plus der IPCop installiert. Allerdings kam diese Hardware dann an ihr Ende (Absturz, freeze), und ich baute das Quad-Interface in einen ganz einfachen PC, installierte und konfigurierte den aktuell zur Verfügung stehenden IPCop 2.1.1 problemlos. Mit dem 1.4 konnte es schon Problme geben mit dem Konfigurieren verschiedener Netzwerkinfaces und den Ports der Quadcard.

bearbeitet von lefg
Link zu diesem Kommentar
DennisB. Rookie

DennisB.   0

Geschrieben
  • Autor
Geschrieben

Ist denn für das Schulfilter Plus die Lizenz noch gültig oder abgelaufen?

--> Wie kann ich das herrausfinden? Gibt es da eine Möglichkeit das über die Konsole auszulesen? Bin wie gesagt noch nicht lange dabei und muss mir zur Zeit alles noch zusammen suchen.

 

Ist die Hardware des Gerätes noch in Ordnung? Sonst überlege, auf eine andere Hardware zu installieren, die Quadcard mitnehmen. Oder gleich umsteigen auf IPCop oder Sophos. Der IPCop ist sehr schnell installiert und konfiguriert, es gibt dafür ein Forum.

--> Ich vermute das sie nicht mehr in Ordnung ist. Es ist aber eh geplant, noch dieses Jahr auf die Sophos UTM220 + Full Guard umzusteigen.

 

Nun, falls es den Schülern tatsächlich gelungen sein sollte, dann liegt es am Admin oder Lehrer etc. Oder?

--> Denke es könnte auch an den Passwörtern gelegen haben. Die waren nämlich nicht gerade sehr kreativ. Wurden jetzt aber geändert.

 

Das Filter ist ein doch wohl ein URL-Filter, es kann keine Bilder besehen und interpretieren.

--> Ah, ok. Wusste nicht genau wie der Filter arbeitet. Aber das leuchtet ein. Obwohl es schon b***d ist.

 

Ist es gesichert ist, das eine exe heruntergeladen wurde, hast Du es getestet? Dann war wohl das Filter deaktiviert, nicht oder falsch konfiguriert. Falls eine exe gepackt und das Package mit einem Kennwort versehen, ob das Filter die exe noch erkennen kann?

--> Ja ist sicher. Hab selber versucht eine *.exe-Datei runterzuladen, mit Erfolg.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...