Bloccare accesso internet solo ad alcuni utenti dominio
SunnyBear
alcuni utenti facenti parte di un dominio su Windows Server 2008 R2.
L'idea grossolana che mi è venuta in mente è quella, visto che non è
installato Isa, di legare ad un gruppo di utenti un finto gateway e di
evitare che l'utente possa modificare le proprietà della rete.
Ma un conto è pensare un conto è attuare il pensiero.
Ho trovato la policy che impedisce le modifiche alla scheda di rete,
ma non riesco ad applicara ad un utente qualsiasi come prova. E
comunque non ho idea di come poter affidare ad un gruppo un
determinato gateway.
Avete suggerimenti in merito? E' la strada giusta da seguire o
esistono strade migliori??
Grazie
Bruno Campanini
news:6dde466c-2d34-4d17...@j2g2000vbo.googlegroups.com...
Io ho creato in AD del server un gruppo denominato
NoInternetGroup poi ho lavorato sull'attribuzione di un
proxy non valido (127.0.0.1) e fatto sparire il Tag Connections
dall'IE di quei client che non hanno accesso ad Internet.
Se vuoi ti mando alcune immagini, perché a spiegarlo così
è più complicato di quanto sia nell'attuazione.
Bruno
Valerio Vanni
<brun...@libero.it> wrote:
>> Avete suggerimenti in merito? E' la strada giusta da seguire o
>> esistono strade migliori??
>
>Io ho creato in AD del server un gruppo denominato
>NoInternetGroup poi ho lavorato sull'attribuzione di un
>proxy non valido (127.0.0.1) e fatto sparire il Tag Connections
>dall'IE di quei client che non hanno accesso ad Internet.
>Se vuoi ti mando alcune immagini, perché a spiegarlo così
>è più complicato di quanto sia nell'attuazione.
C'è però il problema che questa limitazione colpisce solo IE.
Con browser "one-click" si esce.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
SunnyBear
> Se vuoi ti mando alcune immagini, perché a spiegarlo così
> è più complicato di quanto sia nell'attuazione.
>
> Bruno
Saresti così gentile, perchè ho provato a creare un gruppo a cui
associare le alcune policy di prova e ci sono riuscito, ma non riesco
ad applicare quella della NON modifica delle impostazioni di rete.
Si potrebbe inserire nelle policy anzichè un finto proxy un finto
gateway?
Bruno Campanini
news:bvci86lo9tgi6v4cl...@4ax.com...
> C'è però il problema che questa limitazione colpisce solo IE.
> Con browser "one-click" si esce.
Sarebbe a dire?
Dammi ulteriori delucidazioni.
Bruno
Bruno Campanini
> Saresti cosě gentile, perchč ho provato a creare un gruppo a cui
> associare le alcune policy di prova e ci sono riuscito, ma non riesco
> ad applicare quella della NON modifica delle impostazioni di rete.
>
> Si potrebbe inserire nelle policy anzichč un finto proxy un finto
> gateway?
Penso di sě.
Dimmi come rendi inaccessibile la definizione del gateway,
che provo...
Bruno
SunnyBear
non punti al router).
Che ne dici?
Bruno Campanini
> Pensavo semplicemente di forzare un gateway della macchina errato (che
> non punti al router).
> Che ne dici?
Questo l'avevo capito.
Ti chiedevo quale fosse la GPO che impediva la modifica del gateway.
Tanto per non dover pescar troppo a lungo in quel mare magnum!
Bruno
SunnyBear
> "SunnyBear" <cilanorobe...@gmail.com> wrote in message
Pardon !! Avevo capito male !!
La policy in questione non permette le modifiche delle impostazioni di
rete (ip, subnet,gateway e DNS).
Configurazione Utente
Modelli amministrativi
Rete
Connessioni di Rete
Proibisci l'accesso alle proprietà di una connessione
Devo dire che ho provato ad applicare questa policy ad un utente ma
senza il risultato sperato. Forse perchè l'utente è cmq un utente
administrator?
Roberto
Bruno Campanini
Pardon !! Avevo capito male !!
La policy in questione non permette le modifiche delle impostazioni di
rete (ip, subnet,gateway e DNS).
Configurazione Utente
Modelli amministrativi
Rete
Connessioni di Rete
Proibisci l'accesso alle proprietà di una connessione
Devo dire che ho provato ad applicare questa policy ad un utente ma
senza il risultato sperato. Forse perchè l'utente è cmq un utente
administrator?
=========================================
Funziona perfettamente:
1 - ho creato un gruppo Global/Security denominato NoNetworkSettings
2 - ho creato NoNetworkSettingsGPO e dal suo Edit ho proibito l'accesso
alle proprietà di rete
3 - nelle Properties di NoNetworkSettingsGPO -> Security, trascurando
gli utenti di default, ho inserito il gruppo NoNetworkSettings
assegnandogli Full Control e Apply Group Policy.
4 - in AD, nelle Properties di NoNetworkSettings, Members -> ho
inserito gli utenti cui è inibito l'accesso alle proprità LAN
Col che però quelli che con tale sistema non vanno in Internet
dovranno munirsi di una congrua scorta di piccioni viaggiatori
se vogliono inviare la posta...
Con le limitazioni che normalmente assegno ai Clients (le directory
operative,
la posta e poco altro sul PC, le directory operative e nient'altro sul
Server)
nessuno può andare a toccare la rete, né altri settaggi,
né installare programmi, etc.
E l'accesso a Internet lo regolo col finto Proxy come ti ho accennato.
Bruno
Ruggiero Lauria
> "SunnyBear" <cilanorobe...@gmail.com> wrote in message
Usi DHCP?
________________________
Ruggiero Lauria
MCT-MCITP-MCSA-MCSE-MS SQL DBA
Bruno Campanini
news:a805882f-3872-42cc...@q2g2000vbk.googlegroups.com...
Usi DHCP?
===================
Ma certamente sě!
Bruno
Ruggiero Lauria
> "Ruggiero Lauria" <r.lau...@netway.it> wrote in message
>
> news:a805882f-3872-42cc...@q2g2000vbk.googlegroups.com...
>
> Usi DHCP?
> ===================
>
>
> Bruno
Allora potresti usare il classid e mettere il GW come parametro di
classe e non di scopo/server.
Poi tramite una group policy distribuisci il classid solo agli utenti/
computer abilitati ad uscire, gli altri non lo hanno e non potendo
modificare le impostazione del TCP non escono.
Ciao
Bruno Campanini
Allora potresti usare il classid e mettere il GW come parametro di
classe e non di scopo/server.
Poi tramite una group policy distribuisci il classid solo agli utenti/
computer abilitati ad uscire, gli altri non lo hanno e non potendo
modificare le impostazione del TCP non escono.
Ciao
==================================
Io non ho capito niente.
Classid, GW...?
Quelle impostazioni TCP che non possono essere modificate
cosa riguardano, il gateway o che altro?
Bruno
Valerio Vanni
<brun...@libero.it> wrote:
>> C'è però il problema che questa limitazione colpisce solo IE.
>> Con browser "one-click" si esce.
>
>Sarebbe a dire?
>Dammi ulteriori delucidazioni.
Vuol dire che tu tramite le impostazioni proxy di IE impedisci a quel
browser di uscire, ma un altro browser può continuare a farlo perché a
livello di rete è tutto libero.
Un browser one-click può essere questo:
http://www.qtweb.net/
(si lancia semplicemente l'eseguibile, non richiede installazione).
Ruggiero Lauria
1) creare una Userclass: http://technet.microsoft.com/en-us/library/cc737299%28WS.10%29.aspx
2) nel DHCP imposti le opzioni (DNS, Gateway...), immagino tu le abbia
a livello di ambito, levi il Gateway da lì e lo imposti solo per la
userclass che hai creato
3) tramite uno script distribuito in una group policy imposti la
userclass sui Computer o sugli utenti, che avrai agganciato ad una
Unità organizzativa apposita o hai filtrato in qualche modo, che vuoi
fare uscire. ipconfig /setclassid "Local Area Connection" MyNewClassId
Il risultato che ottieni è che il Gateway sarà impostato solo su
questi computer/utenti e gli altri non potendo modificare le
impostazioni TCP non escono.
Bruno Campanini
Allora devi :
1) creare una Userclass:
http://technet.microsoft.com/en-us/library/cc737299%28WS.10%29.aspx
2) nel DHCP imposti le opzioni (DNS, Gateway...), immagino tu le abbia
a livello di ambito, levi il Gateway da lì e lo imposti solo per la
userclass che hai creato
3) tramite uno script distribuito in una group policy imposti la
userclass sui Computer o sugli utenti, che avrai agganciato ad una
Unità organizzativa apposita o hai filtrato in qualche modo, che vuoi
fare uscire. ipconfig /setclassid "Local Area Connection" MyNewClassId
=====================================
Mi sono stampato il tutto e farò quanto prima la prova.
=====================================
Il risultato che ottieni è che il Gateway sarà impostato solo su
questi computer/utenti e gli altri non potendo modificare le
impostazioni TCP non escono.
==========================
E per la posta? I piccioni viaggiatori?
==========================
Bruno
Bruno Campanini
> Vuol dire che tu tramite le impostazioni proxy di IE impedisci a quel
> browser di uscire, ma un altro browser può continuare a farlo perché a
> livello di rete è tutto libero.
>
> Un browser one-click può essere questo:
> http://www.qtweb.net/
> (si lancia semplicemente l'eseguibile, non richiede installazione).
Ai Client cui mi riferisco dovrebbe però portarglielo la Befana.
- Non hanno FD
- Inibito l'uso di USB
- Non si collegano a Internet
- Sulla directory loro accessibile del Server il programma non esiste
- I Client si vedono fra di loro ma non possono accedere gli uni alle
risorse degli altri.
Rimangono il CD-ROM e la Befana: per il primo provvedo
immediatamente.
Bruno
Ruggiero Lauria
> ==========================
> E per la posta? I piccioni viaggiatori?
> ==========================
>
> Bruno
Così non escono punto.
Per la posta ti dovresti attrezzare nell'ottica che alcuni client non
hanno accesso ad Internet. Io ho usato questa soluzione in abbinamento
con Exchange.
Bruno Campanini
>
>> ==========================
>> E per la posta? I piccioni viaggiatori?
>> ==========================
>>
>> Bruno
>
> Per la posta ti dovresti attrezzare nell'ottica che alcuni client non
> hanno accesso ad Internet. Io ho usato questa soluzione in abbinamento
> con Exchange.
Una bella complicazione...
Per qualche decina di Client non credo proprio valga la pena.
Grazie comunque per tutte le informazioni.
Bruno