Bloquer internet via active directory ou autre...???

Bloquer internet via active directory ou autre...??? - Windows & Software

Marsh Posté le 10-03-2003 à 16:10:05    

voila je possède un parc rezo de 200 pc environs et je cherche comment activé ou non  l'internet à certaine personne via active directory
 
et par la meme occasion ce qui serais encore mieu c bloquer le net mais que tout le monde puisse avoir accès à l'intranet qui est heberger en local
 
merci

Reply

Marsh Posté le 10-03-2003 à 16:10:05   

Reply

Marsh Posté le 10-03-2003 à 20:14:06    

Moi perso je ne voit qu'une solution, un petit firewall logiciel sur le serveur connecté à internet genre zoneAlarm doit permettre de faire ça. Par contre il ne fonctionne pas par utilisateur mais permet de spécifier pour chaque application (chaque exécutable en fait) si elle a accès ou non à internet et/ou l'intranet.

Reply

Marsh Posté le 10-03-2003 à 20:16:09    

Si c'est une machine tu enlèves l'ip de passerelle.
 
Si c'est un utilisateur :
 
proxy (GPO des proxy et tu l'enlèves)
NAT (netsh pour virer l'ip de la passerelle).

Reply

Marsh Posté le 10-03-2003 à 20:19:04    

Comment partages-tu internet déjà ??
 
Active directory n'a rien a voir avec internet.
 
Il te faut un proxy du style ISA server pour windows ou alors une solution sous linux capable d'authentifier l'utilisateur.
 
Si ce sont des mêmes machines à bloquer et non des utilisateurs qui se déplacent de bécanne en bécanne, tu peux aussi établir des réservations sur ton serveur DHCP en spécifiant une fausse passerelle (enfin ca je sais pas si ca marche j'ai pas encore testé :D )

Reply

Marsh Posté le 10-03-2003 à 20:25:45    

Le problème c'est qu'avec des postes xp, selon la configuration, ils se fichent pas mal de la passerelle, déjà vécu, cet abruti brodcast jusquèà ce qu'il trouve la sortie pour le web et en plus au passage il faut par terre la bande passante du réseau ...
A vérifier mais perso je déconseille de toute façon d'enlever la passerelle sur les postes concernés ...

Reply

Marsh Posté le 11-03-2003 à 08:31:14    

le net est géré par un qube 3 cobalt avec routeur adsl+modem branchés dessus.
 
voila  
 
merci de vos reponses

Reply

Marsh Posté le 11-03-2003 à 08:46:56    

Pour ceux qui ne doivent pas avoir acces à internet, tu leur mets l'acces au net via un proxy bidon, et tu leur interdi de modifier ce parametre, et tout via les GPO.
 
C'est une bidouille mais ça marche nickel :)

Reply

Marsh Posté le 11-03-2003 à 08:53:01    

ouai mais bon apres ils ont plus acceès à l'intranet ques hebergé en local...sur un de mes servers :(

Reply

Marsh Posté le 11-03-2003 à 08:56:58    

Donc il te faut un serveur ISA ou autre du meme style

Reply

Marsh Posté le 11-03-2003 à 09:01:16    

ShonGail a écrit :

Comment partages-tu internet déjà ??
 
Active directory n'a rien a voir avec internet.
 
Il te faut un proxy du style ISA server pour windows ou alors une solution sous linux capable d'authentifier l'utilisateur.
 
Si ce sont des mêmes machines à bloquer et non des utilisateurs qui se déplacent de bécanne en bécanne, tu peux aussi établir des réservations sur ton serveur DHCP en spécifiant une fausse passerelle (enfin ca je sais pas si ca marche j'ai pas encore testé :D )


 
le coup de la fausse passerelle c est grave a chier.
 
a ton avis, que va t il ce passer kan 50% du parc va essayer de trouver sa fausse passerelle ? Broadcast de la mort ki tue un reso

Reply

Marsh Posté le 11-03-2003 à 09:01:16   

Reply

Marsh Posté le 11-03-2003 à 09:03:46    

SylvainDNS a écrit :

Donc il te faut un serveur ISA ou autre du meme style


 
le kobqlt, c est bien Linux kil y a dessus, install toi un vrai proxy dessus et tout le monde ce connecte a ce proxy pour sortir.
 
un bon gros Squid et tes problemes sont reglés. bien sur dans le Fire wall, seul ce proxy est autorise a sortir (tu peux kan meme laisser kke port d ouvert (NNTP, ...)

Reply

Marsh Posté le 11-03-2003 à 09:06:55    

okay dans le qube 3 j'ai vu qu'il yavauis un squid avec gestion de cache...ca marcherais peut etre avec ca mais bon c un rpogramme dans les mise à jour et le qube est pas encore mis à jour...j'ai pas updater encore...

Reply

Marsh Posté le 11-03-2003 à 09:14:53    

Open-LanBugman a écrit :

okay dans le qube 3 j'ai vu qu'il yavauis un squid avec gestion de cache...ca marcherais peut etre avec ca mais bon c un rpogramme dans les mise à jour et le qube est pas encore mis à jour...j'ai pas updater encore...


 
ba moi c est la meilleur solution que j ai a te proposer.
 
Sinon, Squid est en libre telchargement sur le Net, tu le desinstall du Q3 et tu reinstall la derniere version.
 
Une autre solution est d installer un Proxy sur une autre machine. dans ce cas tu aurra la possibilite d utiliser des produit MS mais il fo pensser o surcout dans ce cas la (Windows 2000 server +ISA (asse chere) + liscence d acces au serveur pour chaque client). Une solution Mixte serait : Windows 2000, Apache configuré en proxy mais il resterait tj des liscence a payer

Reply

Marsh Posté le 11-03-2003 à 09:22:12    

avec le squid on peux bloquer l'accès web avec le host name ou l'user name ?? car j'ai jamais utiliser ce prog

Reply

Marsh Posté le 11-03-2003 à 09:40:03    

Open-LanBugman a écrit :

avec le squid on peux bloquer l'accès web avec le host name ou l'user name ?? car j'ai jamais utiliser ce prog


 
 
Squid peut bloker avec IP du client, mais aussi par User name avec une base de User installé sur le Proxy.
 
Il existe aussi des modules pour authentifier avec LDAP et Domaine NT, mais j ai jamais essayé

Reply

Marsh Posté le 11-03-2003 à 09:42:45    

tetram78fr a écrit :

Le problème c'est qu'avec des postes xp, selon la configuration, ils se fichent pas mal de la passerelle, déjà vécu, cet abruti brodcast jusquèà ce qu'il trouve la sortie pour le web et en plus au passage il faut par terre la bande passante du réseau ...
A vérifier mais perso je déconseille de toute façon d'enlever la passerelle sur les postes concernés ...


 
[:rofl]

Reply

Marsh Posté le 11-03-2003 à 11:57:50    

tetram78fr a écrit :

Le problème c'est qu'avec des postes xp, selon la configuration, ils se fichent pas mal de la passerelle, déjà vécu, cet abruti brodcast jusquèà ce qu'il trouve la sortie pour le web et en plus au passage il faut par terre la bande passante du réseau ...
A vérifier mais perso je déconseille de toute façon d'enlever la passerelle sur les postes concernés ...


 
ouai fin si tu a un Firewall entre ton Reso et Internet (je te le souhaite vivement)  ba XP, il se connectera a pas grand chose

Reply

Marsh Posté le 11-03-2003 à 19:19:19    

Open-LanBugman a écrit :

ouai mais bon apres ils ont plus acceès à l'intranet ques hebergé en local...sur un de mes servers :(


 
Si, dans t'es parametre proxy tu dis de me pas utiliser le SRV proxy pour une ou plusieur adresse, mais ton LAN
 
Comme ça par les GPO tu peux bidouillier pour interdir l'acces au net

Reply

Marsh Posté le 11-03-2003 à 19:46:09    

tetram78fr a écrit :

Le problème c'est qu'avec des postes xp, selon la configuration, ils se fichent pas mal de la passerelle, déjà vécu, cet abruti brodcast jusquèà ce qu'il trouve la sortie pour le web et en plus au passage il faut par terre la bande passante du réseau ...
A vérifier mais perso je déconseille de toute façon d'enlever la passerelle sur les postes concernés ...


 
Ajout Suppression de programme, Composant de Windows, Service de mise en réseau, décocher Clientd e controle et découverte...

Reply

Marsh Posté le 11-03-2003 à 22:12:08    

Z_COOL a écrit :


 
ouai fin si tu a un Firewall entre ton Reso et Internet (je te le souhaite vivement)  ba XP, il se connectera a pas grand chose


 
Je saisqu'il se connectera pas, mais ça l'empêchera pas de faire un broadcast qui va surcharger les lignes ...
 
Mefin, cet expérience je l'ai vécu sur un réseau de 80 machines, la problématique est légèrement différente, mais le tout c'est d'avoir quelques chose de propre quand me^me

Reply

Marsh Posté le 11-03-2003 à 22:54:37    

Avec la manip que j'ai mise le problème est résolu..

Reply

Marsh Posté le 12-03-2003 à 19:45:24    

Jef34 a écrit :

Avec la manip que j'ai mise le problème est résolu..


 
Ouais mais quels sont les effets secondaires de la supression de ces services ?

Reply

Marsh Posté le 12-03-2003 à 20:00:30    

comment empecher le broadcast des pc équipés en xp ??

Reply

Marsh Posté le 12-03-2003 à 20:04:32    

Ben Windows XP ne peut plus trouver les passerelles automatiquement par broadcast. Puis MSN Messenger ne peut plus envoyer de fichiers ou vocal à travers les NAT et Firewall UPnP.

Reply

Marsh Posté le 12-03-2003 à 20:05:00    

killlkenny a écrit :

comment empecher le broadcast des pc équipés en xp ??


 
 :??: t'as rien suivit toi  :pt1cable:

Reply

Marsh Posté le 12-03-2003 à 20:19:53    

en fait ça fait ça que si on ne mets pas de passerelle c'est ça ??

Reply

Marsh Posté le 12-03-2003 à 20:29:50    

En effet, si tu ne précises pas de passerelles sur l'interface réseau, Windows XP brodcast afin de la trouvé... (sauf si tu désactive le service en question)

Reply

Marsh Posté le 12-03-2003 à 22:16:07    

Mais pour une config propre, il vaut mieux indiquer la passerelle.
Et apres bloque l'acces au net par une methode bien propre

Reply

Marsh Posté le 19-03-2003 à 14:24:36    

En fait on a exactement la même problématique dans ma société et on n'a pas trouvé de solution :
 
- pas de serveur unix donc pas de squid possible,
- plusieurs sites géographiques donc plusieures sorties vers le net
- tout un site intranet qui doit rester accessible: donc pas de bidouille de passerelle sur les clients
 
En fait chaque site dispose d'un serveur relié au vpn. Le serveur de domaine contenant l'active directory est sur un seul site, tout les utilisateurs se loggent dessus mais ne passent pas forcément par là pour sortir sur le web.
 
Donc si quelqu'un à une idée sur ce problème complexe ça m'aiderai beaucoup ! merci.

Reply

Marsh Posté le 19-03-2003 à 14:57:19    

tetram78fr a écrit :

En fait on a exactement la même problématique dans ma société et on n'a pas trouvé de solution :
 
- pas de serveur unix donc pas de squid possible,
- plusieurs sites géographiques donc plusieures sorties vers le net
- tout un site intranet qui doit rester accessible: donc pas de bidouille de passerelle sur les clients
 
En fait chaque site dispose d'un serveur relié au vpn. Le serveur de domaine contenant l'active directory est sur un seul site, tout les utilisateurs se loggent dessus mais ne passent pas forcément par là pour sortir sur le web.
 
Donc si quelqu'un à une idée sur ce problème complexe ça m'aiderai beaucoup ! merci.
 


 
si tes PC accedent a un intranet au traver d un VPN, je suppose kil s ont de configuré une passerelle.
 
donc install toi un Proxy et si Squid n est pas possible, il reste Apache pour windows (pas la meilleur solution mais bon...) ou alors un serveur ISA.
 
une derniere solution consiste a utiliser un fichier d autoconfiguration pour IE


---------------
#mais-chut
Reply

Marsh Posté le 19-03-2003 à 15:21:12    

En fait parès avoir discuté avec le directeur informatique, il s'avère qu'un simple blocage au niveau des postes et non des utilisateurs suffirait.
 
Imaginons que pour internet explorer je met de sparamètres de connexion internet bidons, est-ce que le web va planter et non l'intranet même si la connexion réseau à distance est active (pour la session windows). Parce qu'en fait, tout sort par l'adsl, mais ces sorties sont redirigées vers le web ou vers internet selon le cas. Le serveur apache, comment il fonctionne en fait ? Moi je croyais que c'était juste un serveur pour héberger des sites internet ou intranet ...(?).Le hic c'est que des solutions trop complexes telle qu'un serveur isa sont trop lourdes à mettre en place selon le directeur. On ne cherche pas de solution parfaite de sécurité incontournable mais juste empêche les utilisateurs de perdre du temps sur promovacances.com  ;)  
 
Sinon pour le script de configuration, qu'est-ce que je dois mettre dedans ?
 
Merci même si je sais que je suis lourd à poser desquestions à la con...

Reply

Marsh Posté le 19-03-2003 à 15:36:57    

Via GPO tu mets une fausse adresse proxy, et tu coches ne pas utiliser de serveurs proxy pour les adresses local
 
http://tmp.foufouille.com/Parametre%20Proxy.jpg
 
Tu peux meme rajouter des adresse internet qui n'utilise pas le proxy. Ensuiste tu interdi à l'utilisateur de modifier les propriete de connexion. (Via GPO)
 
Je pense que c'est ce que tu veux faire, sinon je n'est pas tout comprix
 
Comme solution ça marche nickel :)


Message édité par SylvainDNS le 19-03-2003 à 15:37:47
Reply

Marsh Posté le 19-03-2003 à 15:57:39    

C'est exactement ce que je veux faire ...
Malheureusement je suis un gros boulet en administration réseau windows: GPO c'est quoi ? c'est déjà dans le services win2000 serveur ? sinon c'est payant ?
 
Merci encore une fois !

Reply

Marsh Posté le 19-03-2003 à 16:01:35    

Ca marche dans les GPO...

Reply

Marsh Posté le 19-03-2003 à 16:50:10    

OK mais c'est quoi ? comment ça marche ?

Reply

Marsh Posté le 19-03-2003 à 16:59:24    

Dans Active Directory (AD), tu fais bouton droit propriété sur ton Unité d'Organisation (UO) et dans Group Policy, tu en ajoutes une autres.
 
Dans Utilisateurs, tu verras Modèle d'administration, puis quelques part par là Internet Explorer etc....

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed