Discussione:
Bloccare accesso internet solo ad alcuni utenti dominio
(troppo vecchio per rispondere)
SunnyBear
2010-09-09 10:25:28 UTC
Permalink
Come da oggetto, vorrei poter bloccare l'accesso ad internet solo ad
alcuni utenti facenti parte di un dominio su Windows Server 2008 R2.

L'idea grossolana che mi è venuta in mente è quella, visto che non è
installato Isa, di legare ad un gruppo di utenti un finto gateway e di
evitare che l'utente possa modificare le proprietà della rete.

Ma un conto è pensare un conto è attuare il pensiero.

Ho trovato la policy che impedisce le modifiche alla scheda di rete,
ma non riesco ad applicara ad un utente qualsiasi come prova. E
comunque non ho idea di come poter affidare ad un gruppo un
determinato gateway.

Avete suggerimenti in merito? E' la strada giusta da seguire o
esistono strade migliori??

Grazie
Bruno Campanini
2010-09-09 12:48:51 UTC
Permalink
Post by SunnyBear
Come da oggetto, vorrei poter bloccare l'accesso ad internet solo ad
alcuni utenti facenti parte di un dominio su Windows Server 2008 R2.
L'idea grossolana che mi è venuta in mente è quella, visto che non è
installato Isa, di legare ad un gruppo di utenti un finto gateway e di
evitare che l'utente possa modificare le proprietà della rete.
Ma un conto è pensare un conto è attuare il pensiero.
Ho trovato la policy che impedisce le modifiche alla scheda di rete,
ma non riesco ad applicara ad un utente qualsiasi come prova. E
comunque non ho idea di come poter affidare ad un gruppo un
determinato gateway.
Avete suggerimenti in merito? E' la strada giusta da seguire o
esistono strade migliori??
Io ho creato in AD del server un gruppo denominato
NoInternetGroup poi ho lavorato sull'attribuzione di un
proxy non valido (127.0.0.1) e fatto sparire il Tag Connections
dall'IE di quei client che non hanno accesso ad Internet.
Se vuoi ti mando alcune immagini, perché a spiegarlo così
è più complicato di quanto sia nell'attuazione.

Bruno
Valerio Vanni
2010-09-09 19:22:58 UTC
Permalink
On Thu, 9 Sep 2010 14:48:51 +0200, "Bruno Campanini"
Post by Bruno Campanini
Post by SunnyBear
Avete suggerimenti in merito? E' la strada giusta da seguire o
esistono strade migliori??
Io ho creato in AD del server un gruppo denominato
NoInternetGroup poi ho lavorato sull'attribuzione di un
proxy non valido (127.0.0.1) e fatto sparire il Tag Connections
dall'IE di quei client che non hanno accesso ad Internet.
Se vuoi ti mando alcune immagini, perché a spiegarlo così
è più complicato di quanto sia nell'attuazione.
C'è però il problema che questa limitazione colpisce solo IE.
Con browser "one-click" si esce.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Bruno Campanini
2010-09-10 09:07:32 UTC
Permalink
Post by Valerio Vanni
C'è però il problema che questa limitazione colpisce solo IE.
Con browser "one-click" si esce.
Sarebbe a dire?
Dammi ulteriori delucidazioni.

Bruno
Valerio Vanni
2010-09-13 01:23:40 UTC
Permalink
On Fri, 10 Sep 2010 11:07:32 +0200, "Bruno Campanini"
Post by Bruno Campanini
Post by Valerio Vanni
C'è però il problema che questa limitazione colpisce solo IE.
Con browser "one-click" si esce.
Sarebbe a dire?
Dammi ulteriori delucidazioni.
Vuol dire che tu tramite le impostazioni proxy di IE impedisci a quel
browser di uscire, ma un altro browser può continuare a farlo perché a
livello di rete è tutto libero.

Un browser one-click può essere questo:
http://www.qtweb.net/
(si lancia semplicemente l'eseguibile, non richiede installazione).
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Ruggiero Lauria
2010-09-13 07:49:42 UTC
Permalink
Allora devi :
1) creare una Userclass: http://technet.microsoft.com/en-us/library/cc737299%28WS.10%29.aspx
2) nel DHCP imposti le opzioni (DNS, Gateway...), immagino tu le abbia
a livello di ambito, levi il Gateway da lì e lo imposti solo per la
userclass che hai creato
3) tramite uno script distribuito in una group policy imposti la
userclass sui Computer o sugli utenti, che avrai agganciato ad una
Unità organizzativa apposita o hai filtrato in qualche modo, che vuoi
fare uscire. ipconfig /setclassid "Local Area Connection" MyNewClassId

Il risultato che ottieni è che il Gateway sarà impostato solo su
questi computer/utenti e gli altri non potendo modificare le
impostazioni TCP non escono.

________________________
Ruggiero Lauria
MCT-MCITP-MCSA-MCSE-MS SQL DBA
Bruno Campanini
2010-09-13 11:21:42 UTC
Permalink
"Ruggiero Lauria" <***@netway.it> wrote in message news:94c6d1a8-fd9f-410b-9a7f-***@j5g2000vbg.googlegroups.com...
Allora devi :
1) creare una Userclass:
http://technet.microsoft.com/en-us/library/cc737299%28WS.10%29.aspx
2) nel DHCP imposti le opzioni (DNS, Gateway...), immagino tu le abbia
a livello di ambito, levi il Gateway da lì e lo imposti solo per la
userclass che hai creato
3) tramite uno script distribuito in una group policy imposti la
userclass sui Computer o sugli utenti, che avrai agganciato ad una
Unità organizzativa apposita o hai filtrato in qualche modo, che vuoi
fare uscire. ipconfig /setclassid "Local Area Connection" MyNewClassId

=====================================
Mi sono stampato il tutto e farò quanto prima la prova.
=====================================

Il risultato che ottieni è che il Gateway sarà impostato solo su
questi computer/utenti e gli altri non potendo modificare le
impostazioni TCP non escono.

==========================
E per la posta? I piccioni viaggiatori?
==========================

Bruno
Ruggiero Lauria
2010-09-13 13:11:41 UTC
Permalink
Post by Bruno Campanini
==========================
E per la posta? I piccioni viaggiatori?
==========================
Bruno
Così non escono punto.
Per la posta ti dovresti attrezzare nell'ottica che alcuni client non
hanno accesso ad Internet. Io ho usato questa soluzione in abbinamento
con Exchange.

________________________
Ruggiero Lauria
MCT-MCITP-MCSA-MCSE-MS SQL DBA
Bruno Campanini
2010-09-13 21:23:14 UTC
Permalink
Post by Ruggiero Lauria
Post by Bruno Campanini
==========================
E per la posta? I piccioni viaggiatori?
==========================
Bruno
Così non escono punto.
Per la posta ti dovresti attrezzare nell'ottica che alcuni client non
hanno accesso ad Internet. Io ho usato questa soluzione in abbinamento
con Exchange.
Una bella complicazione...
Per qualche decina di Client non credo proprio valga la pena.

Grazie comunque per tutte le informazioni.

Bruno

Bruno Campanini
2010-09-13 12:04:13 UTC
Permalink
Post by Valerio Vanni
Vuol dire che tu tramite le impostazioni proxy di IE impedisci a quel
browser di uscire, ma un altro browser può continuare a farlo perché a
livello di rete è tutto libero.
http://www.qtweb.net/
(si lancia semplicemente l'eseguibile, non richiede installazione).
Ai Client cui mi riferisco dovrebbe però portarglielo la Befana.

- Non hanno FD
- Inibito l'uso di USB
- Non si collegano a Internet
- Sulla directory loro accessibile del Server il programma non esiste
- I Client si vedono fra di loro ma non possono accedere gli uni alle
risorse degli altri.

Rimangono il CD-ROM e la Befana: per il primo provvedo
immediatamente.

Bruno
SunnyBear
2010-09-10 08:01:14 UTC
Permalink
Post by Bruno Campanini
Se vuoi ti mando alcune immagini, perché a spiegarlo così
è più complicato di quanto sia nell'attuazione.
Bruno
Saresti così gentile, perchè ho provato a creare un gruppo a cui
associare le alcune policy di prova e ci sono riuscito, ma non riesco
ad applicare quella della NON modifica delle impostazioni di rete.

Si potrebbe inserire nelle policy anzichè un finto proxy un finto
gateway?
Bruno Campanini
2010-09-10 09:10:08 UTC
Permalink
Post by SunnyBear
Saresti così gentile, perchè ho provato a creare un gruppo a cui
associare le alcune policy di prova e ci sono riuscito, ma non riesco
ad applicare quella della NON modifica delle impostazioni di rete.
Si potrebbe inserire nelle policy anzichè un finto proxy un finto
gateway?
Penso di sì.
Dimmi come rendi inaccessibile la definizione del gateway,
che provo...

Bruno
SunnyBear
2010-09-10 15:31:57 UTC
Permalink
Pensavo semplicemente di forzare un gateway della macchina errato (che
non punti al router).
Che ne dici?
Bruno Campanini
2010-09-10 18:37:19 UTC
Permalink
Post by SunnyBear
Pensavo semplicemente di forzare un gateway della macchina errato (che
non punti al router).
Che ne dici?
Questo l'avevo capito.
Ti chiedevo quale fosse la GPO che impediva la modifica del gateway.
Tanto per non dover pescar troppo a lungo in quel mare magnum!

Bruno
SunnyBear
2010-09-11 07:53:13 UTC
Permalink
Post by Bruno Campanini
Post by SunnyBear
Pensavo semplicemente di forzare un gateway della macchina errato (che
non punti al router).
Che ne dici?
Questo l'avevo capito.
Ti chiedevo quale fosse la GPO che impediva la modifica del gateway.
Tanto per non dover pescar troppo a lungo in quel mare magnum!
Bruno
Pardon !! Avevo capito male !!

La policy in questione non permette le modifiche delle impostazioni di
rete (ip, subnet,gateway e DNS).

Configurazione Utente
Modelli amministrativi
Rete
Connessioni di Rete
Proibisci l'accesso alle proprietà di una connessione

Devo dire che ho provato ad applicare questa policy ad un utente ma
senza il risultato sperato. Forse perchè l'utente è cmq un utente
administrator?


Roberto
Bruno Campanini
2010-09-11 09:41:50 UTC
Permalink
"SunnyBear" <***@gmail.com> wrote in message news:7346dd18-bdf9-4d2a-acfa-***@a19g2000vbi.googlegroups.com...

Pardon !! Avevo capito male !!

La policy in questione non permette le modifiche delle impostazioni di
rete (ip, subnet,gateway e DNS).

Configurazione Utente
Modelli amministrativi
Rete
Connessioni di Rete
Proibisci l'accesso alle proprietà di una connessione

Devo dire che ho provato ad applicare questa policy ad un utente ma
senza il risultato sperato. Forse perchè l'utente è cmq un utente
administrator?

=========================================
Funziona perfettamente:
1 - ho creato un gruppo Global/Security denominato NoNetworkSettings
2 - ho creato NoNetworkSettingsGPO e dal suo Edit ho proibito l'accesso
alle proprietà di rete
3 - nelle Properties di NoNetworkSettingsGPO -> Security, trascurando
gli utenti di default, ho inserito il gruppo NoNetworkSettings
assegnandogli Full Control e Apply Group Policy.
4 - in AD, nelle Properties di NoNetworkSettings, Members -> ho
inserito gli utenti cui è inibito l'accesso alle proprità LAN

Col che però quelli che con tale sistema non vanno in Internet
dovranno munirsi di una congrua scorta di piccioni viaggiatori
se vogliono inviare la posta...

Con le limitazioni che normalmente assegno ai Clients (le directory
operative,
la posta e poco altro sul PC, le directory operative e nient'altro sul
Server)
nessuno può andare a toccare la rete, né altri settaggi,
né installare programmi, etc.
E l'accesso a Internet lo regolo col finto Proxy come ti ho accennato.

Bruno
Ruggiero Lauria
2010-09-12 11:02:18 UTC
Permalink
Post by SunnyBear
Pardon !! Avevo capito male !!
La policy in questione non permette le modifiche delle impostazioni di
rete (ip, subnet,gateway e DNS).
Configurazione Utente
Modelli amministrativi
Rete
Connessioni di Rete
Proibisci l'accesso alle proprietà di una connessione
Devo dire che ho provato ad applicare questa policy ad un utente ma
senza il risultato sperato. Forse perchè l'utente è cmq un utente
administrator?
=========================================
1 - ho creato un gruppo Global/Security denominato NoNetworkSettings
2 - ho creato NoNetworkSettingsGPO e dal suo Edit ho proibito l'accesso
     alle proprietà di rete
3 - nelle Properties di NoNetworkSettingsGPO -> Security, trascurando
     gli utenti di default, ho inserito il gruppo NoNetworkSettings
     assegnandogli Full Control e Apply Group Policy.
4 - in AD, nelle Properties di NoNetworkSettings, Members ->  ho
      inserito gli utenti cui è inibito l'accesso alle proprità LAN
Col che però quelli che con tale sistema non vanno in Internet
dovranno munirsi di una congrua scorta di piccioni viaggiatori
se vogliono inviare la posta...
Con le limitazioni che normalmente assegno ai Clients (le directory
operative,
la posta e poco altro sul PC, le directory operative e nient'altro sul
Server)
nessuno può andare a toccare la rete, né altri settaggi,
né installare programmi, etc.
E l'accesso a Internet lo regolo col finto Proxy come ti ho accennato.
Bruno
Usi DHCP?

________________________
Ruggiero Lauria
MCT-MCITP-MCSA-MCSE-MS SQL DBA
Bruno Campanini
2010-09-12 12:55:13 UTC
Permalink
"Ruggiero Lauria" <***@netway.it> wrote in message news:a805882f-3872-42cc-93ff-***@q2g2000vbk.googlegroups.com...

Usi DHCP?
===================

Ma certamente sì!

Bruno
Ruggiero Lauria
2010-09-12 14:06:40 UTC
Permalink
Post by Ruggiero Lauria
Usi DHCP?
===================
Ma certamente sì!
Bruno
Allora potresti usare il classid e mettere il GW come parametro di
classe e non di scopo/server.
Poi tramite una group policy distribuisci il classid solo agli utenti/
computer abilitati ad uscire, gli altri non lo hanno e non potendo
modificare le impostazione del TCP non escono.
Ciao

________________________
Ruggiero Lauria
MCT-MCITP-MCSA-MCSE-MS SQL DBA
Bruno Campanini
2010-09-12 22:47:56 UTC
Permalink
"Ruggiero Lauria" <***@netway.it> wrote in message news:cd8cc38d-0fe4-4bf1-8072-***@y31g2000vbt.googlegroups.com...

Allora potresti usare il classid e mettere il GW come parametro di
classe e non di scopo/server.
Poi tramite una group policy distribuisci il classid solo agli utenti/
computer abilitati ad uscire, gli altri non lo hanno e non potendo
modificare le impostazione del TCP non escono.
Ciao
==================================

Io non ho capito niente.
Classid, GW...?

Quelle impostazioni TCP che non possono essere modificate
cosa riguardano, il gateway o che altro?

Bruno
Continua a leggere su narkive:
Loading...