Dedizierter Internetterminal am LAN

[triple15b]

Hallo!

Hab ein Problem und komm einfach nicht auf eine Lösung. In unserem Labor (heterogenes XP + W2k3 Umfeld) hatten bisher alle Clients eine Internetverbindung über einen Proxyserver. Leider wurde das unserem Chef zuviel und nun soll wegen "Sicherheitsaspekten" ein einzelner PC als gemeinsamer Internetrechner eingerichtet werden. Dieser soll keine physikalische Anbindung zur restlichen Domain haben. Leider hat sich herausgestellt, dass dies nur mit übermäßigen Aufwand möglich wäre (von wegen strukturierte Verkabelung und so...) und ich suche jetzt eine alternative Möglichkeit.

Meine Idee wäre einen Rechner über Group-Policies so einzuschränken das er nur noch eine IP, nämlich die des Proxys anwählen darf. Danach würde ich das restliche System absichern (Laufwerke sperren, usf.) damit sozusagen ein Read-Only System entsteht. Meine Frage ist ob dies prinzipiell Möglich ist und ob es eventuell Software gibt die dabei hilfreich sein könnte.

Vielen Dank im Voraus für eure Hilfe.

LG

[hades]

Wenn Deine Switches VLAN-faehig sind, nutze dieses und erstelle Dir ein VLAN fuer den Internet-PC.

Gruppenrichtlinien auf einem PC ohne Domaenenkontakt funktionieren nur als lokale Gruppenrichtlinien. D.h. Du kannst nicht alle Einstellungen setzen, die es bei Gruppenrichtlinien auf Standorte, Domaenen und Organsisationseinheiten gibt.

Desweiteren besteht die Gefahr, dass Du den lokalen Administrator aussperrst.

[SirVival]

VLANs halte ich auch für eine sinnige und vorallem schnell umzusetzende Lösung.

Ansonsten würde mir noch einfallen:

zwei openwrt Router, OpenVPN, nen tunnel durchs eigene Netz bis zum Proxy.

Ein Openwrt Router kann man sich sparen, wenn der OpenVPN server auf den Proxy kommt.

OpenVPN auf den Surfrechner zu packen finde ich nicht so prickelnd, weil er dann immer noch physikalisch im geschützen Netz hängt.