Internetzugang beschränken

[Lawe 10]

Server: 2003 Standart Edition mit Exchange 2003 <-- Ist somit der Hauptserver (ADS)

Wie kann ich am einfachsten den Internetzugriff für Benutzer einschränken? Entweder Surfguthaben (Zeit), oder auch ganz einfach entweder er darf oder er darf nicht.

Das ganze sollte wenn möglich mit Boardmitteln oder mit Freeware möglich sein.

ISA möchte ich wenn es geht vermeiden ;)

 

Was sind eure Ideen?

Achso der server ist dns und gateway für die clientpcs...

[Frank_Steinmetz 10]

Hi,

 

ein Proxy wäre die beste Lösung für dich. Google mal nach Janaserver.

 

Den hab ich selber mehrere Jahre verwendet - ist einfach zu Administrieren, hat viele Möglichkeiten und ist Freeware.

[Lawe 10]

okay, gut mache ich, aber wie ich schaffe ich es dann, dass die nicht einfach ohne proxy ins inet gehen? wie kann ich dass denn sperren?

[IThome 10]

Möglich wäre auch ein Application-Level Hardwarefirewall (ich bevorzuge Watchguard-Produkte)

edit: ups, das "soll nix kosten" hab ich glatt übersehen ... :D

[Frank_Steinmetz 10]

@Lawe:

 

Na, du könntest in den Netzwerkeigenschaften den Proxy fest eintragen, und danach mit den Gruppenrichtlinien unterbinden, dass die Netzwerkeigenschaften geändert werden können.

[IThome 10]

@Lawe:

 

Na, du könntest in den Netzwerkeigenschaften den Proxy fest eintragen, und danach mit den Gruppenrichtlinien unterbinden, dass die Netzwerkeigenschaften geändert werden können.

Mit ´nem anderen Browser gehts dann aber doch ... ;)

Wenn der Proxyserver aber 2 Netzwerkkarten hat (eine zum Inetrouter und eine zum Netz) oder Du im Router Filter konfigurierst, dass nur der Proxy durch darf ...

[W4chund 10]

Mal dumm eingeworfen, er kann es doch über die Sicherheitsrichlinie der einzelnen Gruppe machen. Dann braucht er nichts mit 2. Netzwerkarte oder extra Proxyserver zu machen.....oder täusche ich mich da?

[IThome 10]

Ja klar, da kann man die Proxyeinstellungen für den IE übermitteln und schützen. Das gilt aber nur für den IE. Nehme ich einen anderen Browser oder benutze irgendein anderes Programm (etwa ein FTP-Programm), kann ich den Proxy umgehen, wenn die Clients auch einen Gatewayeintrag haben, der zum Inetrouter führt. Um das zu vermeiden, kann ich es, wie oben beschrieben, erzwingen. Egal was die Clients dann einstellen oder benutzen, es muss der Proxy benutzt werden ...

[Frank_Steinmetz 10]

Stimmt schon. Aber: Wenn er in den Eigenschaften des Servers (DHCP) angibt, dass der PDC gleichsam als Router fungiert, sollte das Aushebeln über einen anderen Browser als den IE ausgeschlossen sein. Man könnte dann auch noch die User so beschneiden, dass kein anderer Browser installiert werden darf....

Gibt´s nicht auch eine Möglichkeit per GPO festzulegen, ob ein User ins www darf oder nicht ?

War (glaub ich) so ähnlich aufgebaut wie die Möglichkeit zur Einwahl (mit Zeitfenster). Wenn man hier alles deaktiviert, ist der Zugang zu Internet doch auch dicht.

[IThome 10]

Stimmt schon. Aber: Wenn er in den Eigenschaften des Servers (DHCP) angibt, dass der PDC gleichsam als Router fungiert, sollte das Aushebeln über einen anderen Browser als den IE ausgeschlossen sein. Man könnte dann auch noch die User so beschneiden, dass kein anderer Browser installiert werden darf....

Gibt´s nicht auch eine Möglichkeit per GPO festzulegen, ob ein User ins www darf oder nicht ?

War (glaub ich) so ähnlich aufgebaut wie die Möglichkeit zur Einwahl (mit Zeitfenster). Wenn man hier alles deaktiviert, ist der Zugang zu Internet doch auch dicht.

Da hast Du recht, dann kann ich das Gateway aber auch gleich weg lassen. Mit den Einschränkungen via GPO bzw. Benutzerrechte kannst Du natürlich auch alles runterregeln. Ein Filter im Router ist wesentlich weniger aufwändig. Es gibt viele Wege, die nach Rom führen ...

:)

[Lawe 10]

danke für die vielen tipps, ich werde nun mal den versuch über die zwei netzwerkkarten gehen ;)

[W4chund 10]

Naja, ich bin mal davon ausgegangen, dass die User eh nur eingeschränkte Rechte haben. Zumindest ist es bei mir so, von daher ist es ein kleines die GPO entsprechend zu erweitern, denn Installieren von Fremdsoftware außerhalb unseres Standards kommt für den "normalen" User garnicht in die Tüte. ;)

Das wäre ja Sodom und Gomorra.

[IThome 10]

Hehe, jo, da haste recht ...

[christian1 10]

Naja, ich bin mal davon ausgegangen, dass die User eh nur eingeschränkte Rechte haben. Zumindest ist es bei mir so, von daher ist es ein kleines die GPO entsprechend zu erweitern, denn Installieren von Fremdsoftware außerhalb unseres Standards kommt für den "normalen" User garnicht in die Tüte. ;)

Das wäre ja Sodom und Gomorra.

 

Soweit richtg, nur läßt sich der Feuerfuchs auch ohne Installation starten. Auch ohne Adminrechte.

 

Gruß Christian

[W4chund 10]

Soweit richtg, nur läßt sich der Feuerfuchs auch ohne Installation starten. Auch ohne Adminrechte.

 

Gruß Christian

 

Schau...schau.....wußte ich noch garnicht. Naja, ich gebs zu ich bin M$ verseucht :). Muss ich wohl mal öfter Kontrollgänge durch unsere Userreihen machen in der nächsten Zeit ;).