Patrick.Karre Geschrieben 22. Mai 2003 Teilen Geschrieben 22. Mai 2003 Hallo Leute, ist es möglich mit einem Windows 2000 Server bestimmte Internetseiten für bestimmte Benutzer zu Sperren ? MfG Patrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Nalimov Geschrieben 22. Mai 2003 Teilen Geschrieben 22. Mai 2003 Also mit Windows "Hausmitteln" wüsste ich jetzt nicht wie das gehen soll. Aber Norton Internet Security leistet das. Damit kannst Du für bestimmte User oder Usergruppen jederzeit Webseiten sperren. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Patrick.Karre Geschrieben 23. Mai 2003 Autor Teilen Geschrieben 23. Mai 2003 Ist es den möglich für bestimmte Bentuzer das Internet komplett zu Speeren ? MfG Patrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 23. Mai 2003 Teilen Geschrieben 23. Mai 2003 Tja, dazu müssten wir mehr über deine Netzwerktopologie wissen. Du kannst z.B., wenn du einen Router im Netz hast, der für den Internetzugriff zuständig ist, die Gateway-Adresse in den Netzwerkeinstellungen weglassen und den Usern über Gruppenrichtlinien verbieten, in den TCP/IP-Einstellungen was zu ändern. Habe eben mal nachgeschaut und auf die Schnelle keine Stelle in den Gruppenrichtlinien gefunden, die den Internet-Explorer soweit komplett sperren. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Patrick.Karre Geschrieben 23. Mai 2003 Autor Teilen Geschrieben 23. Mai 2003 Der Server geht ins Internet, der stellt auch gleichzeitig den Router dar. Das Netzwerk besteht aus einem normalen TCP/IP Netzwerk. Ich habe mitlerweile erfahren, das ich das Internet komplett über einen ISA-Server von Microsoft kontrollieren kann. Kostet halt wieder Geld. Wenn es geht, würde ich die ausgaben gerne vermeiden. MfG Patrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 23. Mai 2003 Teilen Geschrieben 23. Mai 2003 Original geschrieben von Patrick.Karre Der Server geht ins Internet, der stellt auch gleichzeitig den Router dar. MfG Patrick Du verlangst da leider eine relativ komplexe Lösung, einfaches Sperren von Webseiten, wäre vermutlich nicht allzuschwer, aber wenn du es userbasiert (mit Referenz einer ADS oder SAM-NT4) machen willst, kommst du um eine kommerzielle Lösung nicht herum. Das heisst entweder einen ISA-Server, oder einen Webproxy mit userbasierter Überprüfung (z.b. Websense ). Gruß Terran Marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
blackswordowner Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 Hallo! arbeitet ihr mit Active Directory (ADS), also mit domänen oder mit arbeitsgruppen?? Meines wissens, müßte man so eine einstellung beim ADS machen können. ist dann bei Verwaltung->active directory benutzer und computer unter den administrativen vorlagen zu finden. Da du das auf benutzerebene machen willst bei der benutzerkonfiguration einstellen. ich schau nachher aber nochmal nach... Möchtest du nur einige Seiten sperren oder grundsätzlich das Internet?? wenn es die einstellung im ADS nicht gibt, ist es echt nur über einen proxy möglich, der die internet-adressen filtert. muß ja nicht immer geld kosten :-) Linux + Squid. könntest dann auch sofort einen paketfilter noch einbauen. für den anfang ist glaub ich ip-cop net schlecht. war auf der letzten c`t cd drauf. mußt brennen und dann auf einer eigenen platte installieren und machst dann alle einstellungen über ein "grafisches menü" oder nach den grundeinstellungen über ein web-frontend. habe ich aber noch net ausprobiert. außerdem scheiden sich bei firewall / proxy die Geister und ist teilweise geschmackssache bzw. eine Grundhaltung. Sonst such mal hier im Forum nach proxy... Gruß BSO :marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 Original geschrieben von blackswordowner wenn es die einstellung im ADS nicht gibt, ist es echt nur über einen proxy möglich, der die internet-adressen filtert. muß ja nicht immer geld kosten :-) Linux + Squid. könntest dann auch sofort einen paketfilter noch einbauen. Und wie löst er dann das Problem nur bestimmte User ins Internet zu lassen, bzw. userbasiert zu filtern ? Mir ist nicht bekannt, das squid standardmässig auf eine ADS/SAM zurückgreifen kann. Zu verlockend es ist, aber dieses Problem lässt sich afaik nicht einfach mit einer kostenlosen Variante lösen. Gruß Terran Marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
blackswordowner Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 Hallo! Also auch mit Squid ist es möglich den Zugriff Benutzergesteuert zuregeln... Und zwar wird das Modell hier beschrieben... Wir setzen es bei uns auch ein und es funktioniert ohne Probleme. Nur jeder Benutzer muß sich bei uns noch einmal authentifizieren durch einen benutzernamen und ein dazugehöriges Password. Man braucht nicht für alles Produkte von Microsoft auch wenn es von der Oberfläche einfacher zu adminstrieren und verwalten ist. Man braucht bei jedem neuen Produkt eine Einarbeitungszeit von Seiten des Admin`s, doch sollte man seine AUswahl nach den Kriterien "was brauch ich an funktionen", "wie sicher ist es" und "wie viel kostet es / wie groß ist der Aufwand fürs Soll" richten. Dann sollte man seine eigene Wahl treffen. Und es ist doch mit Squid möglich. Doch viele Leute scheuen sich über ihren eigenen Tellerrand hinauszublicken, was ich ziemlich schade finde. Gruß BSO :marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 Original geschrieben von blackswordowner Hallo! Also auch mit Squid ist es möglich den Zugriff Benutzergesteuert zuregeln... Hast du schonmal ein größeres Windows Netzwerk betreut ? Dann müsste dir die Problematik eigentlich auch auffallen. Mir ist auch klar, das squid einen benutzergesteuerte Zugriff zulässt, diese Benutzerdatenbank ist aber innerhalb von squid zu pflegen, d.h. : ich muss neben meiner ADS eine seperate Benutzerdatenbank pflegen! Da mag bei 10 Usern noch ganz lustig sein, in unserem Netzwerk befinden sich aber bsp. über 1000 User, und da habe ich keine Lust zwei oder sogar noch mehr Benutzerdatenbanken inkl. Passwörter zu adminstrieren. Dies macht in der Praxis auch kein vernüftiger Admin. Dies hat auch nichts mit Kommandozeilen/GUI Vorlieben zutun, mir geht es einzig und allein um die Administrierbarkeit. (P.S. : Ich betreue nebenbei einen Multidomain-Web/MailServer unter Debian in der Console, mir ist die Linux Bedienung also durchaus bewusst) Gruß Terran Marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
blackswordowner Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 Bin leider nur ein Azubi im 2.Lehrjahr zum Systemintegrator. Hatte mal wieder nicht an die globalen Folgen gedacht... Und wieder etwas dazu gelernt. aber ADS ist ja auch ein Verzeichnisdienst nach X.500 und somit müßte es ja theoretisch möglich sein über LDAP eine Abfrage zu machen (siehe vorherigen Link). Man müßte dann "nur" dem Schema ein neues Attribut jedem Benutzer hinzufügen und diesen Attributwert vergleicht man. Ich weiß, dass das eine Schemaänderung ziemlich kritisch ist. Und man bräuchte dann auch keine zweite Authentifizierung machen und die zentrale Administrierbarkeit wäre wieder erfüllt. Aber es wäre doch ein Lösungsansatz oder?! Wahrscheinlich ist eine Lösung mit Microsoft Produkten dann doch die bessere Alternative. Wollte nicht besserwisserisch sein, aber kommt manchmal doch vor. Sorry. Gruß BSO :marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 Original geschrieben von blackswordowner aber ADS ist ja auch ein Verzeichnisdienst nach X.500 und somit müßte es ja theoretisch möglich sein über LDAP eine Abfrage zu machen (siehe vorherigen Link). Möglich ist vieles, aber als komplettes Paket ist mir ein solches System bisher noch nicht bekannt (wobei squid auch ne LDAP Anbindung hat). Mal eben so am Schema einer ADS rumzueditieren, ist zwar eine Möglichkeit, aber auch nicht wirklich ungefährlich. Die Frage ist dann auch immer wie fit man im Bereich Linux / LDAP / squid etc. ist. Ich bin selbst großer Freund von Open-Source Lösungen, aber manchmal führt eben (noch) kein Weg an kommerzieller Software vorbei. Gruß Terran Marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Patrick.Karre Geschrieben 26. Mai 2003 Autor Teilen Geschrieben 26. Mai 2003 Hallo Leute, erstmal Dank für eure unterstützung !!! Wir werden demnächst den Domäncontroller einschalten, dies wurde bis jetzt aus Zeitgründen noch nicht gemacht. Um den ISA-Server werde ich wohl nicht herum kommen, da ich eine komplette Protekollierung haben möchte. Dies muss aber auch die Geschäftsleitung entscheiden. Wenn der ISA-Server nicht verwendet wird, werde ich einfach bestimmte Nutzer komplett für das Internet Speeren. Gruß Patrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hmaas Geschrieben 27. Mai 2003 Teilen Geschrieben 27. Mai 2003 Hi, wenn die User, die nicht überall hin surfen dürfen, immer am gleichen Rechner sitzten, und die Anzahl an zu sperrenden Seiten nicht so groß ist, kann man die Sperre auch über die hosts lösen. Einfach besagte Seiten in der C:\%windir%\system32\drivers\etc\hosts eintragen, als IP-Adresse 127.0.0.1 (Loopback) eintragen. Darauf achten das die DNS-Namensauflösung erst über die hosts und dann über irgendwelche DNS-Server erfolgt. Schon können die besagten Seiten auf den einzelnen Rechner nicht mehr aufgerufen werden. Gruß Pönk Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Patrick.Karre Geschrieben 28. Mai 2003 Autor Teilen Geschrieben 28. Mai 2003 Das wäre auch eine Möglichkeit, die ich halt mal ausprobieren müste. MfG Patrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 28. Mai 2003 Teilen Geschrieben 28. Mai 2003 Original geschrieben von Pönk Einfach besagte Seiten in der C:\%windir%\system32\drivers\etc\hosts eintragen, als IP-Adresse 127.0.0.1 (Loopback) eintragen. Darauf achten das die DNS-Namensauflösung erst über die hosts und dann über irgendwelche DNS-Server erfolgt. Schon können die besagten Seiten auf den einzelnen Rechner nicht mehr aufgerufen werden. Gruß Pönk Lässt sich leider recht schlecht, up to date halten, da man händig an die Rechner muss, bzw. neue hosts Dateien übers Netzwerk kopieren muss. Ist für findige User auch kein wirklich Schutz, da man auch direkt die IP-Adressen eingeben kann, um auf Webseiten zu kommen. (Dann wird die hosts - Datei nicht geprüft) Gruß Terran Marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Kristian Geschrieben 29. Mai 2003 Teilen Geschrieben 29. Mai 2003 @Terran Marine: Ich kann aber per squid mit smbauth ohne größere Schwirigkeiten das ganze doch auf einer OpenSource Basis bauen, ohne die Schwierigkeiten einer weiteren Benutzerdatenbank zu haben. Das ganze funktioniert einfach so, dass squid versucht mit den gegebenen User/Pass eine Verbindung zu einem MasterBrowser / PDC aufzunehemen und auf eine bestimmte Datei im Netlogon zuzugreifen. User, die diese Datei lesen dürfen, dürfen auch ins Netz. Der Proxy muss nicht mal Samba installiert haben. der SambaClient reicht vollkommen aus. Haben wir in der Firma mal getestet, hat sang und klanglos funktioniert. Und über NTLM-Auth sollte das sogar ohne zusätzliche Anmeldedialoge funktionieren, das hab ich selbst aber noch nicht ausprobiert... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Patrick.Karre Geschrieben 29. Mai 2003 Autor Teilen Geschrieben 29. Mai 2003 Hallo Leute, wie genau muss ich das aufbauen mit dem windir verzeichnis damit das funktioniert ? MfG Patrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 29. Mai 2003 Teilen Geschrieben 29. Mai 2003 Original geschrieben von Kristian Das ganze funktioniert einfach so, dass squid versucht mit den gegebenen User/Pass eine Verbindung zu einem MasterBrowser / PDC aufzunehemen und auf eine bestimmte Datei im Netlogon zuzugreifen. User, die diese Datei lesen dürfen, dürfen auch ins Netz. Ich bleib dabei, mir ist bisher keine einfache Lösung bekannt, deine Idee ist zwar gut, du hast aber trotzdem das Problem, das du nicht userbasiert, webseiten sperren oder zulassen kannst. Bei deiner Lösung heisst es einfach nur Internet ja oder nein. Patrick wollte aber für bestimmte User bestimmte Webseiten sperren. Gruß Terran Marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DanielB Geschrieben 29. Mai 2003 Teilen Geschrieben 29. Mai 2003 Es ist durchaus möglich dieses mit Squid und ADS zu realisieren und zwar mit Hilfe von "group-ldap-auth". Zu finden unter http://group-ldap-auth.sourceforge.net . Wie "einfach" das einzurichten ist muss jeder für sich selbst entscheiden Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 29. Mai 2003 Teilen Geschrieben 29. Mai 2003 Original geschrieben von DanielB Es ist durchaus möglich dieses mit Squid und ADS zu realisieren und zwar mit Hilfe von "group-ldap-auth". Zu finden unter http://group-ldap-auth.sourceforge.net . Wie "einfach" das einzurichten ist muss jeder für sich selbst entscheiden Genau meine Rede, wer sich mit Linux und der Thematik ADS-Anbindung , SQUID etc. gut bis sehr gut auskennt, wird die Einrichtung vermutlich so hinbekommen. Ganz einfach sieht das nämlich nicht aus. Bei Usern aus der Windows Welt stellt sich die Frage, ob es den Aufwand lohnt, sich in in die Thematik reinzuarbeiten. Zeit ist nämlich auch Geld. (Ich würde den Linux Weg wählen, aber das muss jeder selbst entscheiden) Gruß Terran Marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Patrick.Karre Geschrieben 30. Mai 2003 Autor Teilen Geschrieben 30. Mai 2003 Der Nachteil bei dem Linux weg ist, das ich einen zweiten Server erstellen muss. Manche Programme die eingesetzt werden, laufen leider nur unter einem Windows 2000 Server. Ich gehe einfach mal davon aus, das dieser ISA-Server halt angeschafft werden muss. MfG Patrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Patrick.Karre Geschrieben 13. August 2003 Autor Teilen Geschrieben 13. August 2003 Wie kann ich dies bei einem Windows 98 Rechner umsetzen: Einfach besagte Seiten in der C:\%windir%\system32\drivers\etc\hosts eintragen, als IP-Adresse 127.0.0.1 (Loopback) eintragen. Darauf achten das die DNS-Namensauflösung erst über die hosts und dann über irgendwelche DNS-Server erfolgt. ??? In welche Datei muss ich was eintragen ??? Gruß Patrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Terran Marine Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Original geschrieben von Patrick.Karre ??? In welche Datei muss ich was eintragen ??? Hab gegooglt, Suchwörter Windows 98 hosts, Erster Link, Volltreffer : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/win98/reskit/part7/wrkappf.asp Gruß Terran Marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Patrick.Karre Geschrieben 14. August 2003 Autor Teilen Geschrieben 14. August 2003 Okay, ich werde versuchen das einfach mal umzusetzen. Danke. Gruß PAtrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.