[ISA2000]ISA moet stoppen met om passwords zeuren

Ik heb op verzoek van de directie een lijstje sites gemaakt waar mensen hier zomaar bij moeten kunnen. Dat houdt in dat de groep "algemeen" bij deze sites kan (en niets anders) en er voor bepaalde piepol geldt dat ze alle sites mogen bereiken. Deze groep heet "internet".

Nu ontstaat er een uitdaging op het moment dat iemand een site opent welke toegestaan is maar links bevat naar ongewenste sites, zoals bijvoorbeeld de site www.gsmarena.com welke boordevol banners staat. de banners staan natuurlijk weer eens niet op hetzelfde domein als de website en dus vraagt IE 6x om wachtwoorden voor de site te laten zien. Dit houdt ie natuurlijk vol bij elke pagina die je probeert te bezoeken. Wachtwoord intokkelen en op "wachtwoord opslaan in wachtwoordenlijst" klikken helpt niet, omdat je ook mét die wachtwoorden niet op de banner-site mag. Eenerzijds een fijn feature omdat je nu verstoken blijft van alle reclame, maar het is wel knap irritant dat de gebruiker bij elke site een muisknop verslijt.

Nou zoek ik al een uurtje op google GOT en de KB van MS naar een manier om dit uit te zetten, maar óf ik kan niet zoeken óf het kan niet. Ik hoop uiteraard dat ik gewoon blind ben en ergens overheen heb gekeken.

Weet iemand een manier, om via instellingen op ISA2000 of de werkstations (2000 en XP, allen IE 6.0 of hoger) in te stellen dat als ergens geen rechten voor zijn het ding niet moet zeuren om een password maar gewoon meteen de "u bent stout en mag hier niet bij" pagina te laten zien?

edit: feitelijk dit probleem dus, maar dan om een andere reden:
De gequote website staat boordevol zinvols maar dít kan ik niet vinden. ISAServer.org staat trouwens al een poosje in m'n favorites.
ISA server authentication popup scherm

[ Voor 11% gewijzigd door Verwijderd op 18-01-2005 17:44 ]

dmeij schreef op woensdag 19 januari 2005 @ 09:01:
1. Maak een client adress set met de naam bijv. Blacklist aan waar je je dhcp pool inzet.

2. Maak een destination set aan waar je de "Blacklisted websites in zet" ( tip gebruik urls en geen ip adressen)

3. Maak een blacklist.html pagina aan waar je bijvoorbeeld in zet de tekst "content geweigerd bla bla bla bedrijfsnaam etc. etc. en plaats hem op een locatie waar de isa toegang tot heeft.

4. Maak een content en site rule aan die zegt redirect iedereen van de client adress set "blacklist" en die naar een Blacklisted url surft naar blacklist.html

Maar, doet ie dit op deze manier niet voor alles? Want de sites die ik probeer te blokkeren moet ik niet met de hand willen intikken: het gaat er juist om dat alles geblokt is behalve de sites in kwestie die in de allow rule staan.

Oh wacht eens, dan kan ik natuurlijk beter één deny rule maken die geldt voor alles, behalve de destination-set "sites die mogen" en de usergroep "mensen die wel mogen internetten.
Die had ik zelf mogen bedenken...
Bedankt dmeij!

[editje]
Helaas werkt dit niet. Tenzij ik alle gebruikers die niet mogen internetten in een groep hang, en de rest in een andere groep, en dan exceptions gebruik in die ééne rule kan dit niet met ISA2000.
De enige manier om alles-behalve te blokken is dan één rule maken, waar je één uitzonderings dest.set kan opgeven, en een setje groepen of IP nummers aan wie dit al dan niet wordt opgedrongen. Hierbij mag iemand die moet mogen internetten niet in de groep "mag niet internetten" terecht komen want dan kan hij niets meer. (deny takes precedent over allow)

De bedoeling is dat de gebruikers op niet al te lange termijn in groepen gedeeld worden (callcenter, fin.amdin, deb.admin, directie, lastpakvanhiernaast, IT, enzovoorts) welke allen een algemene set sites en hun eigen set sites moeten bezoeken. Natuurlijk staan deze groepen allang in de AD en worden ze al gebruikt, ik heb alleen de destinationsets nog niet gescheiden.
Echter, als de directie dit wil dan moeten ze ook muisknoppen budget toekennen: alles waar geen deny voor is maar wat de huidige gebruiker niet mag levert het wachtwoord-zeur schermpje op.
Tenzij iemand weet hoe dit te omzeilen (Arno? Kom op, dit is je kans te bewijzen wat je kunt...) gaat dit niet opgelost worden vrees ik.

[ Voor 94% gewijzigd door Verwijderd op 19-01-2005 12:25 ]

Kan de situatie zoals ik die hebben wil *zeker* wel met ISA2004? Dat is namelijk een upgrade die ik hier heel goed uitgelegd krijg, als die het wel écht kan (niet zoals ISA2000 het dus "kan") dan zou dat op zich wel een gelikte oplossing zijn.

Daar ga ik me eens in verdiepen, bedankt.

dmeij schreef op donderdag 20 januari 2005 @ 17:20:
Waarom geef je de gebruikers die wel mogen internetten niet een automagisch een proxyadres via een gpo en de rest niet. Probleem opgelost wat internet explorer geeft dan een dnserror en gaat niet verder. Ik weet nog veel meer oplossingen voor jouw probleem want daar heb je isa 2004 niet voor nodig.

Iedereen mag internetten! Je mag alleen niet overal bij. Het probleem is dat je op groepsniveau moet kunnen toewijzen waar wel bij, en niet op annuleren moet hoeven hameren. Die combinatie kent ISA2000 niet default.

Maar goed, ik zou zeggen, noem zo'n oplossing. Ik ga ondertussen het isaserver.org forum nog eens afstruinen.

dmeij schreef op vrijdag 21 januari 2005 @ 10:18:
Groep 1 mag alles is set 1
Groep 2 mag niets behalve set 2
Groep 3 mag niets behalve set 3
Groep 4 mag niets behalve set 4
Wat niet mag wordt geredirect naar magniet.html

Of

Groep 1 mag alles is set 1
Groep 2,3, en 4 mogen niets behalve set 2
Wat niet mag wordt geredirect naar de magniet.html

Of ik begrijp je verkeerd zou zo maar kunnen. Of je wilt alles in één rule stoppen?

Je begrijpt de essentie wel maar je leest niet wat ik schrijf: iets wat denied is, is zonder loginscherm gewoon foei. dat is prima, maar je KAN niet de regel "mag niets behalve..." instellen. Je kan wél instellen "Mag alleen..." maar als je DAT doet, DAN zeurt ie telkens om login en password als je iets NIET mag, schijnbaar omdat er een groep is die dat wél mag.
Je snapt het dus uitstekend maar je oplossing werkt gewoon niet. Dát is waar het al sinds de TS op misloopt: de hulpvaardigen kennen ISA maar hebben niet door dat ik iets wil dat feitelijk niet kan met ISA2000. Als het inderdaad de simpele solution was die jullie hadden aangedragen had het al gewerkt. Helaas helaas, nothing is ever easy.

Powermage schreef op zondag 23 januari 2005 @ 21:47:
Ik heb een tijd geleden in een ISA training samen met die leraar een creative oplossing hiervoor bedacht omdat bij ons iets soortgelijks nodig zou zijn.

Waar het grof op neerkwam om op je interne netwerk kaart een 2e ip in te stellen, en vervolgens hier een aparte listener op in te stellen, vervolgens kon je hier wat dingen op instellen voor die 2 groepen, en via een GPO gaf je dan aan of ze moesten verbinden met ip x.x.x.1 of ip x.x.x.2

Hoe het precies zat weet ik niet meer, maar het werkte uiteindelijk wel goed!
(de inlog venstertjes waren dan verdwenen)

Ik snap het in elk geval niet met deze tekst, maar als je dit hebt draaien zou je me natuurlijk tot tranen kunnen roeren door het voor me op te zoeken in je ISA config.

edit:
op isaserver.org kom ik een link naar dit artikeltje tegen:
http://support.microsoft....aspx?scid=KB;en-us;297324
Misschien werkt dit, ga ik zo testen...

update:
Dit is inderdaad de fix. Na SP2 erop te zetten werkt deze registry-key wél en wordt er niet langer gezeurd. Ik merkte helaas bij het updaten wel dat er SP1 op ISA2000 stond voor ik er SP2 op zette en dat deed het niet. Of dit aan SBS2003 ligt of niet is me onbekend. Voor wie dit na gaat doen: ISA SP2 wil Windows herstarten.

[ Voor 13% gewijzigd door Verwijderd op 26-01-2005 11:40 . Reden: Voortgang - einde topic ]