Internetzugriff per GPO deaktivieren

Hallo zusammen,

ich habe zwei Gruppen Internetuser.
Gruppe1:
- darf überall im Internet surfen
- muss lokale Seiten per IE aufrufen können

Gruppe2:
- darf nur auf bestimmte Internetseiten
- muss lokale Seiten per IE aufrufen können

Der Internetzugang läuft über einen Proxy (192.168.160.10).
Lokale Aufrufe der Form 192.168.11.* umgehen den Proxy.

Wie kann ich in den GPOs diese beiden Gruppen realisieren.

Vielen Dank für eure Hilfe

Gruß
Björn

Hallo,

Mit GPO's ?
Naja...

zwei GPO's erstellen...
1. GPO: Dort steht der richtige Proxy drin.
2. GPO dort trägst du einen Fake Proxy ein (IP 1.1.1.1)

Wenn Du bei beiden GPO's Proxy bei lokalen Adressen umgehen einträgst, dann funzt der Intranetaufruf bei beiden.

Dann musst du diese GPO's nur noch bestimmten Usern bzw. Usergruppen zuordnen.

Gruß
Sven

P.S.: Sauber konfigurierte Zugriffslisten im Proxyserver wären die einfachere Lösung

Danke für deine Antwort.

An die Idee mit dem gefälschten Proxy hatte ich gedacht. Doch wie kommt dann die Gruppe, die nur auf bestimmte Internetsites darf, dort hin?

Beispiel:
Gruppe Internet:
- alle Seiten

Gruppe kein Internet:
- www.heise.de

Wie kommt die Gruppe kein Internet ohne Proxy auf www.heise.de?


Die Lösung sollte über GPOs laufen, auch wenn es nicht so schön ist, da der spätere Admin keinen Linux-Proxy bedienen kann und will. Für ihn ist es das einfachste, einen User in die Gruppe Internet aufzunehmen und ihm so den Zugriff zu erlauben.
Ist eigentlich ja auch nicht schlecht, sämtliche Berechtigungen von einer Stelle aus zusteuern.
Kann, da ich mich selber auch nicht mit dem Linux-Proxy auskenne, Linux mit Windowsgruppen umgehen? Dann könnte der Zugriff über das AD geregelt werden ohne GPO und ohne Proxy-Konfiguration.

Gruß
Björn

Ja, Linux kann LDAP-Abfragen machen => Stichwort RADIUS-Server
Aber das ist ein ziemliches Gefummel, bis der läuft.

Wenn sich bei euch eh keiner mit Linux auskennt, warum installiert ihr keinen ISA-Server ?!?
Damit wäre dann die Reglementierung via GPO bzw. ISA-Client ein Kinderspiel.

Cheers,
Joshua

PCDJoshua schrieb:

Wenn sich bei euch eh keiner mit Linux auskennt, warum installiert ihr keinen ISA-Server ?!?

Zum Vergrößern anklicken....

Ganz so ist das nun auch nicht. Das System besteht zur Zeit in der Form:
- W2k3 Server für Benutzerverwaltung
- WinXP Clients
- Firewall und Proxy auf Linux-Server

Der Linuxteil ist von einer externen Firma eingerichtet worden, die den zwar bedienen können und auch den Internetzugriff regeln könnten, doch kostet jeder Handschlag Geld. Das soll halt durch die Reglementierung über den Windows-Server vermieden werden.

Hmmm, das klassische Problem mit dem Outsourcing ;D
Mir will aber partout nix einfallen, wie man das sicher und schnell regeln könnte, OHNE direkt an der Linux-Maschine was zu machen - meine Firewalls/Proxies laufen auch unter Linux, ich reglementiere das eben direkt dort, weil es von Seiten der Windows-Welt nicht so ohne weiteres zu machen ist.

Was issen das für ne Firewall ?!?

Cheers,
Joshua

PCDJoshua schrieb:

Was issen das für ne Firewall ?!?

Zum Vergrößern anklicken....

iptables soweit ich weiß

Also selbstgestrickt und nix von der Stange ?!?

Cheers,
Joshua

PCDJoshua schrieb:

Also selbstgestrickt und nix von der Stange ?!?

Zum Vergrößern anklicken....

Ganz genau.

Wie habt ihr denn den Internetzugriff geregelt? Authentication over IP???

Bei uns hat jeder Mitarbeiter ne feste IP und wenn er mal den Rechner wechseln muss, dann hätte er kein Internet mehr und guckt dann dumm aus der Wäsche.
Bei uns läuft die Authentisierung nämlich über IP. Das ist wie gesagt auch der Grund für ne Benutzergruppe, denn das ist das ganze egal.

Ich werde also am Montag mal nachfragen, ob das Ganze über LDAP zu regeln ist.

Vielen Dank

Gruß
Björn

P.S.: Sollte jemandem noch etwas einfallen, wie man das ganze mit Windowsmitteln regeln kann, so wäre ich ihm sehr dankbar.

Björn_2 schrieb:

Ich werde also am Montag mal nachfragen, ob das Ganze über LDAP zu regeln ist.

Zum Vergrößern anklicken....

Stichwort NTLM Auth für Squid Proxyserver

Hallo,

Über'n Linux-Proxy regelbar über Benutzername und/oder IP-Adresse /Subnetze
sollte kein Problem darstellen,
genauso über LDAP möglich