Toon posts:

Hoe toegang blokkeren tot gateway voor een user

Pagina: 1
Acties:
  • 215 views sinds 30-01-2008
  • Reageer

woensdag 20 april 2005 09:49

Acties:
  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 09-04 23:33

FaceDown

Storende factor.

Topicstarter
We hebben een W2k3 domein. Nu wil ik voor 1 user de toegang tot de gateway (die automatisch via DNS wordt toegewezen) blokkeren. Met andere woorden; de user mag niet het internet op. De user is een 'gewone user' maar is lokaal tevens administrator.

Ik wil hierbij het liefst niet gebruik moeten maken van bijv een proxy. Is er een mogelijkheid dit te bereiken door een instelling op de server misschien (group policy oid)?

Groetjes, FaceDown.

woensdag 20 april 2005 10:17

Acties:
  • Tomsworld
  • Registratie: Maart 2001
  • Niet online

Tomsworld

officieel ele fan :*

Firewall tussen het internet en het netwerk en gewoon alles droppen van die user.

Hoe deel je je internet ?

"De kans dat een snee brood op een nieuw tapijt valt met de beboterde zijde onderaan, is recht evenredig met de prijs van het tapijt"

woensdag 20 april 2005 10:24

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 06-05 20:00

Equator

Crew Council

#whisky #barista

Als die jongen altijd op dezelfde PC zit, een reservering aanmaken binnen DHCP op zijn MAC adres. (Niet DNS, maar DHCP..) Dan een route op de server plaatsen richting dat gereserveerde IP adres naar een bogus gateway.
code:
1

route add <ip.address> <net.mask> <bogus.ip.address.for gateway> -p


Het is een smerige manier, maar zonder proxy of authenticating firewall kan je hem niet blokkeren.
Overigens hoeft deze persoon maar achter een andere PC te gaan zitten om toch op internet te kunnen :P

woensdag 20 april 2005 10:26

Acties:
  • Caeruleus
  • Registratie: November 2001
  • Laatst online: 04-05 21:53

Caeruleus

Plaats deze persoon in een aparte OU en stel mbv een group policy in dat hij zelf geen gateway mag aanpassen (toegang tot netwerkeigenschappen blokkeren) en eventueel kun je de gateway voor hem op 127.0.0.1 oid zetten.

[ Voor 6% gewijzigd door Caeruleus op 20-04-2005 10:27 ]

no animals were harmed during the production of this message

woensdag 20 april 2005 10:27

Acties:
  • wizzzzzz
  • Registratie: Februari 2002
  • Laatst online: 26-03 14:08

wizzzzzz

Kun je in de router zijn ip-adres blokkeren via een soort access control. De ene router kan het wel de andere weer niet.

woensdag 20 april 2005 10:49

Acties:
  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 09-04 23:33

FaceDown

Storende factor.

Topicstarter
Hm ik ga het truukje van CyberJ eens proberen. Bedankt alvast. De pc heeft overigens geen vast IP.

Groetjes, FaceDown.

woensdag 20 april 2005 11:07

Acties:
  • wizzzzzz
  • Registratie: Februari 2002
  • Laatst online: 26-03 14:08

wizzzzzz

Als hij lokaal admin is kan hij zelf het ip-adres en gateway invullen.

[ Voor 3% gewijzigd door wizzzzzz op 20-04-2005 11:08 ]

woensdag 20 april 2005 11:09

Acties:
  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 09-04 23:33

FaceDown

Storende factor.

Topicstarter
Ja daar dacht ik net ook aan.. dat is dus ook weer een probleem.

Groetjes, FaceDown.

woensdag 20 april 2005 11:11

Acties:
  • X-Rey
  • Registratie: April 2002
  • Laatst online: 09:51

X-Rey

edit de group policy op zijn pc dan dat hij die niet kan aanpassen, de doorsnee user heeft toch geen idee hoe hij dat moet omzeilen, het is al een klein wonder als hij weet hoe hij de gateway moet aanpassen.

woensdag 20 april 2005 11:18

Acties:
  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 09-04 23:33

FaceDown

Storende factor.

Topicstarter
Hoe doe ik dat? De group policy op het werkstation beperkt de user toch niet als deze lokaal administrator is?

Ik heb nou een reservation binnen de DHCP toegevoegd, zodat de betreffende machine altijd een 'foute' gateway krijgt toegewezen. Er kan inderdaad handmatig nu nog een andere gateway worden ingesteld, dus dat zou ik nog ergens uit moeten schakelen.. maar waar?

[ Voor 55% gewijzigd door FaceDown op 20-04-2005 11:31 ]

Groetjes, FaceDown.

woensdag 20 april 2005 12:16

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 06-05 23:54

leuk_he

1. Controleer de kabel!

FaceDown schreef op woensdag 20 april 2005 @ 10:49:
Hm ik ga het truukje van CyberJ eens proberen. Bedankt alvast. De pc heeft overigens geen vast IP.
Dat is wel simpel te regelen in de dhcp server, zijn macadres locken aan een ip.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

woensdag 20 april 2005 12:56

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

access-list op de router?

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

woensdag 20 april 2005 14:39

Acties:
  • Caeruleus
  • Registratie: November 2001
  • Laatst online: 04-05 21:53

Caeruleus

FaceDown schreef op woensdag 20 april 2005 @ 11:18:
Hoe doe ik dat? De group policy op het werkstation beperkt de user toch niet als deze lokaal administrator is?

Ik heb nou een reservation binnen de DHCP toegevoegd, zodat de betreffende machine altijd een 'foute' gateway krijgt toegewezen. Er kan inderdaad handmatig nu nog een andere gateway worden ingesteld, dus dat zou ik nog ergens uit moeten schakelen.. maar waar?
Group policies overrulen de rechten van een local admin, oftewel, een group policy heeft wel degelijk effect. (correct me if I'm wrong)

no animals were harmed during the production of this message

woensdag 20 april 2005 14:53

Acties:
  • RammY
  • Registratie: Oktober 2001
  • Laatst online: 12-04 15:30

RammY

Dát!

Dirk-Jan schreef op woensdag 20 april 2005 @ 12:56:
access-list op de router?
Lekker in een grote organisatie :)
Iedereen toevoegen behalve 1 :P
Tenzij je het om kan draaien natuurlijk :)

Hoe word de gateway geregeld.. Is dat de DHPC server zelf (of andere server) die gateway is of een router..

Deze advertentieplaats is te huur!

woensdag 20 april 2005 15:23

Acties:
  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 09-04 23:33

FaceDown

Storende factor.

Topicstarter
Caeruleus schreef op woensdag 20 april 2005 @ 14:39:
[...]


Group policies overrulen de rechten van een local admin, oftewel, een group policy heeft wel degelijk effect. (correct me if I'm wrong)
Hm dat zou kunnen. Waar kan ik deze group policy setting vinden dan (via AD users and computers -> eigenschappen, maar waar vind ik de bewuste instelling?).

Een access/deny-list op de router is geen optie, want als ik met m'n adminaccount inlog moet ik wel het internet op kunnen. Kan ik wel weer IP-settings gaan wijzigen enzo.. maar da's weer omslagtig.

Overigens werkt het nu wel; alleen zou ik de IP-instellingen nog af moeten kunnen schermen.

Het is trouwens niet zo dat 1 persoon in ons bedrijf niet op internet mag, maar dat er 1 pc staat met zeer beperkte netwerkrechten die een machine aanstuurt en het is niet de bedoeling dat de nachtploeg daar de hele nacht op zit te chatten. :P Dat is voorbehouden aan de netwerkbeheerder. >:)

[ Voor 4% gewijzigd door FaceDown op 20-04-2005 15:24 ]

Groetjes, FaceDown.

woensdag 20 april 2005 15:34

Acties:
  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 11:23

The Eagle

I wear my sunglasses at night

FaceDown schreef op woensdag 20 april 2005 @ 15:23:
[...]


Hm dat zou kunnen. Waar kan ik deze group policy setting vinden dan (via AD users and computers -> eigenschappen, maar waar vind ik de bewuste instelling?).

Een access/deny-list op de router is geen optie, want als ik met m'n adminaccount inlog moet ik wel het internet op kunnen. Kan ik wel weer IP-settings gaan wijzigen enzo.. maar da's weer omslagtig.

Overigens werkt het nu wel; alleen zou ik de IP-instellingen nog af moeten kunnen schermen.

Het is trouwens niet zo dat 1 persoon in ons bedrijf niet op internet mag, maar dat er 1 pc staat met zeer beperkte netwerkrechten die een machine aanstuurt en het is niet de bedoeling dat de nachtploeg daar de hele nacht op zit te chatten. :P Dat is voorbehouden aan de netwerkbeheerder. >:)
NOFI, maar wat ben je dan voor malloot dat je dat ding dezelfde rechten enzo geeft als de rest van de machines? Als het geen standaard bureau-desktop maar een dedicated machine is, gelden daar toch ook geen desktop policies voor? En moet de user op die machine per se local admin zijn :/ Kan me nauwelijks voorstellen.
Denk persoonlijk dat je naar een oplossing voor het verkeerde probleem zoekt :)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 20 april 2005 15:35

Acties:
  • RammY
  • Registratie: Oktober 2001
  • Laatst online: 12-04 15:30

RammY

Dát!

IDD.
Maak een gebruiker aan op het systeem en timmer hm HELEMAAL dicht.
Het enige (neem ik aan) wat de gebruiker hoeft te doen is een programma draaien die op de pc staat dus....
Dichtzetten die hap en niet moeilijk doen.

Deze advertentieplaats is te huur!

woensdag 20 april 2005 15:45

Acties:
  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 09-04 23:33

FaceDown

Storende factor.

Topicstarter
Helaas; het programma wat erop draait geeft foutmeldingen wanneer er lokaal geen adminrechten aanwezig zijn. Waar de oorzaak hiervan precies zit kan de leverancier niet zeggen en zullen we zelf een keer uit moeten zoeken, maar daar is nu geen tijd voor.
Verder maakt de machine wel degelijk gebruik van bepaalde netwerkbronnen (printers en bestanden) dus dit is volgens mij toch de beste oplossing.

[ Voor 4% gewijzigd door FaceDown op 20-04-2005 15:46 ]

Groetjes, FaceDown.

woensdag 20 april 2005 15:47

Acties:
  • RammY
  • Registratie: Oktober 2001
  • Laatst online: 12-04 15:30

RammY

Dát!

dan kun je dus alsnog met verschillende policy's gaan werken dat je voor de gebruiker zelf alles dicht zet....

Deze advertentieplaats is te huur!

woensdag 20 april 2005 15:52

Acties:
  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 11:23

The Eagle

I wear my sunglasses at night

FaceDown schreef op woensdag 20 april 2005 @ 15:45:
Helaas; het programma wat erop draait geeft foutmeldingen wanneer er lokaal geen adminrechten aanwezig zijn. Waar de oorzaak hiervan precies zit kan de leverancier niet zeggen en zullen we zelf een keer uit moeten zoeken, maar daar is nu geen tijd voor.
Verder maakt de machine wel degelijk gebruik van bepaalde netwerkbronnen (printers en bestanden) dus dit is volgens mij toch de beste oplossing.
Ik zou hem lekker van het LAN afhalen. Geen gezeik meer mee, en heb je ook geen problemen met virii, spyware en aanverwante zaken :)

Hoeveel printers heeft zo'n machine nodig :? Kan ie niet met eentje af? Als dat zo is: lekker parallel kabeltje trekken naar de dichtsbijzijnde printer.
Bestanden: Zijn het statische of dynamische bestanden die op het netwerk benaderd moeten worden? Als het dynamisch (batchgewijs) is, kun je ook overwegen om e.e.a. via een crosslink met een andre PC met 2 NIC over te zetten.

Welk OS draait dat werkstation trouwens? Wel handig om te weten als je het e.e.a. dicht wilt spijkeren :)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 20 april 2005 16:32

Acties:
  • wizzzzzz
  • Registratie: Februari 2002
  • Laatst online: 26-03 14:08

wizzzzzz

Als je niet wilt dat ze kunnen internetten of (chatprogjes) kunnen downloaden kun je toch gewoon de internet explorer hernoemen of evt weggooien.

woensdag 20 april 2005 16:36

Acties:
  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 09-04 23:33

FaceDown

Storende factor.

Topicstarter
Dat is ook nog een extra optie wizzz maar ik denk dat ik het nu wel voldoende heb afgeschermd.

De pc zit aangesloten op een labelprinter, en de labels worden weer op het netwerk geplaatst door iemand op kantoor (flinke afstand ertussen). Standalone maken is dus _echt_ geen optie, tenzij een van jullie zin heeft om de hele dag gratis labels per diskette over te komen zetten. Een extra crosskabel ook niet, omdat er nu al een lange glasvezel ligt.

Er staat XP pro op de (nieuwe) machine.

[ Voor 14% gewijzigd door FaceDown op 20-04-2005 16:38 ]

Groetjes, FaceDown.

woensdag 20 april 2005 22:51

Acties:

Verwijderd

Zijn vast wel andere oplossingen voor.
Tweede netwerkkaart in de pc waar de etiketten vandaan komen en zo gesloten netwerkje maken ertussen bijvoorbeeld, of etiketten op usb stick zetten of of of ........

[ Voor 15% gewijzigd door Verwijderd op 20-04-2005 22:51 ]

Pagina: 1
Reageer