Supprimer l'accès Internet de certaines machines dans un domaine - Windows & Software
Marsh Posté le 10-11-2004 à 14:23:14
supprime la paserelle.
vu que surement en rezo, sans paserelle pas de net mais le rezo marche.
sinon il doit bien avoir des prog qui limite les users, surtout sous 2000 ou xp
Marsh Posté le 10-11-2004 à 14:30:13
ouais, dans le registre, ya pas mal de clés qui bloquent internet et tout.... j'ai plus ça sous la main mais sur
www.regedit.com tu devrais trouver si tu cherche un peu
Marsh Posté le 12-11-2004 à 21:51:46
Vous avez pas un serveur proxy ? des beaux groupes pour autoriser l'accès aux gens ? et le refuser aux autres ? comme ça vos config de postes restent intègre.
Marsh Posté le 14-11-2004 à 18:37:53
sinon pour editer la base de registre tu peux utiliser la commande gpedit.msc
Marsh Posté le 14-11-2004 à 18:41:20
des détails sur l'architecture du serait le bienvenue
Dans le cadre ou le reseau est assez important (au niveau nombre de pc) le proxy devient quasiment indispensable !
Marsh Posté le 14-11-2004 à 18:41:53
Bloquer toute sortie réseau à ces machines depuis le routeur/proxy, c'est la solution la plus propre et la plus sûre.
et/ou
Mettre un Firewall sur les machines à bloquer, 2 règles
réseau local : permitted
le reste : blocked
Marsh Posté le 14-11-2004 à 19:13:42
vince da leonard a écrit : Vous avez pas un serveur proxy ? des beaux groupes pour autoriser l'accès aux gens ? et le refuser aux autres ? comme ça vos config de postes restent intègre. |
+1
deux strategies users : un groupe autorisé avec parametrage proxy, l'autre sans paramétrage ... et les deux groupes avec interdiction de modif par le user
Marsh Posté le 14-11-2004 à 20:40:17
dans le cas de l'utilisation d'un proxy, je te conseille la distribution censornet qui permet de recupérerles utilisateurs de ton serveur win et de tout controler de n'importe quelle station via une interface web
Marsh Posté le 16-11-2004 à 09:06:09
Bien. Merci à tous pour vos réponses. J'ai une question concernant le proxy (il y'en a un en place) est-il possible que malgré l'absence de passerelle dans la config des clients (réservations DHCP) l'utilisateur arrive quand même à surfer sur Internet grâce au proxy ?
Marsh Posté le 16-11-2004 à 09:44:42
Petite précision: je souhaite que les utilisateurs connectés en local ne puisse pas avoir Internet mais que lorsqu'ils se logent sur le domaine il puisse y avoir accès. J'ai consulté un tip pour bloquer l'accès à internet (mettre une adresse proxy bidon). Cela marche quand je me log en local mais aussi quand je me log sur le domaine. ça ne résoud donc pas mon pb.
Marsh Posté le 16-11-2004 à 10:04:46
Je réfléchis mais je ne vois pas de diffilcultée particulière. La connexion d'un groupe d'individu en local peut être différenciée de la configuration propulsée par le serveur dans le GPO (Xsetup permet de generé un .reg à installer sur toutes les machines.
Le DHCP doit donner un minimum d'infos pour permettre la connexion au réseau. Après faut affiner.
Je suis sur qu'i y a encore plus simple, mais comme toujours c'est plus long à expliquer.
Attention, les GPO ont évolué avec le couple 2003 / XP Pro
Marsh Posté le 16-11-2004 à 11:16:10
thebounty a écrit : Bien. Merci à tous pour vos réponses. J'ai une question concernant le proxy (il y'en a un en place) est-il possible que malgré l'absence de passerelle dans la config des clients (réservations DHCP) l'utilisateur arrive quand même à surfer sur Internet grâce au proxy ? |
oui c'est justement l'avantage du proxy.
ni passerelle et ni dns de configuré et ça marche quand même.
Marsh Posté le 16-11-2004 à 15:37:54
ReplyMarsh Posté le 17-11-2004 à 09:08:45
Une autre décision concernant l'utilisation des 10 machines dont je dois interdir l'accès. Il y'a eu qqs changements.
Les utilisateurs doivent avoir accès à leur espace de stockage sur le serveur donc il faut que je configure les machines pour qu'ils puissent se loger sur le domaine.
La soluce que e vais utiliser mais qui est à mon avis pas la plus simple: un firewall dans la salle.j'autorise l'ouverture de session mais que je bloque le reste en sortie.
A votre avis (même si vous pensez comme moi que c'est pas la bonne soluce), est-ce que je dois faire un firewall sous debian ou sous windows (2000 pro je pense). Sachant que la sécurité de mon réseau est "garantie" par un autre parefeu ?
J'ai entendu parler d'un soft sous linux qui permet de faire des règles iptables et de l'administrer via une interface web (c'est pas webmin).
Marsh Posté le 17-11-2004 à 13:48:54
Si clients XP ou 2000 ...
GPO ....
C'est vraiment plus simple et personnalisable à souhait
Marsh Posté le 17-11-2004 à 15:31:13
Ca serait mieux de faire une GPO mais ... explications:
j'ai une UO "etudiants" sur laquelle j'applique une gpo qui dit proxy=bidon:5555. dans cette uo j'ai 2 UO, etu1 et etu2 sur lesquelles je n'applique pas de GPO.
Je n'utilise que des stratégies utilisateurs.
Je n'ai aucun moyen de savoir quels étudiants circulent dans cette salle (rq: c une salle pédagogique). le prof. souhaite ne pas avoir à flicker ses étudiants.
Par quel moyen je peux bloquer l'accès ??? Je ne vois pas comment faire!
Marsh Posté le 17-11-2004 à 15:47:05
Si j'utilise une autre GPO, sur quelle UO l'appliquée ??? J'ai mis l'héritage sur l'UO etudiants.
Si j'utilise une stratégie ordinateur sur mes postes:
Modèles d'administration\Composants Windows\Internet Explorer
En activant "paramètres machine du serveur proxy" est-ce que mon pb sera réglé ? Tout en sachant qu'il faut que je fasse sauter la config proxy des postes clients, est-ce que les étudiants n'auront plus accès à Internet en utilisant soit l'explorateur windows, soit Internet explorer soit la commande Executer ?
J'y suis presque. J'le sens.
Marsh Posté le 17-11-2004 à 15:54:13
firefox sur clé usb
et hop l'étudiant à accès à internet.....
Marsh Posté le 17-11-2004 à 19:02:45
Je répète ma question : tes postes clients sont sous quel OS ?
Marsh Posté le 18-11-2004 à 02:40:38
com21 a écrit : firefox sur clé usb |
Clair
Je vote pour le proxy
Pour les reseaux avec serveur windows y'a pas "ISA Server" (un collegue à installer ca pour pouvoir limiter les users et attribuer des droits suivant les groupes sur le domaine, d'aprés lui l'avantage d'ISA c'est que ca marche directement avec les comptes d'AD, mais c'est tout )
Marsh Posté le 18-11-2004 à 08:23:12
ya d'autres proxy pour windows qui gère les comptes AD....
(par contre j'ai pas de nom en tête)
Marsh Posté le 18-11-2004 à 12:53:57
censornet (un distrib linux de proxy) recupere les comptes AD du serveur 2000 http://www.censornet.com/
Marsh Posté le 18-11-2004 à 19:57:37
isanaud a écrit : censornet (un distrib linux de proxy) recupere les comptes AD du serveur 2000 http://www.censornet.com/ |
via ldap
Marsh Posté le 19-11-2004 à 13:45:20
Blaclist55 mes clients sont des 2000Pro et qqs XP pro. Les étudiants ne peuvent pas brancher de clé USB.
ISA server ... vois pas c'que c'est. je chercherai plus tard.
Le proxy n'est pas sous mon contrôle. Il dépend d'un organisme qui nous fournit l'accès Internet par fibre optique. J'ai déjà demandé à ce que j'en installe un mais ils ont refusé. Faut que je retente. C'est vrai qu'avec un proxy ça irait 'achement mieux. p'tits scripts pour connecter ou déconnecter une salle en fonction des addresse mac ça serait plus pratique.
Marsh Posté le 19-11-2004 à 15:40:50
thebounty a écrit : Blaclist55 mes clients sont des 2000Pro et qqs XP pro. Les étudiants ne peuvent pas brancher de clé USB. |
ISA server si je me trompe pas c'est le FW de windows !
Marsh Posté le 19-11-2004 à 15:53:21
ReplyMarsh Posté le 19-11-2004 à 16:20:48
ils parlent bien de FW... http://www.clubic.com/telecharger- [...] -2000.html
Marsh Posté le 19-11-2004 à 17:05:40
J'ai une serveur et des clients à tester dans les prochains jours, je vais faire des essais.
A priori, je devrais y arriver en mixant les GPOs matérielles et d'avec les GPO Users
Marsh Posté le 19-11-2004 à 18:14:43
ReplyMarsh Posté le 19-11-2004 à 21:40:22
ReplyMarsh Posté le 20-11-2004 à 05:57:19
'lut les gens
iSA server peut être configuré de trois façon :
Mode : Firewall
Mode : Proxy (améliore les perfs d'accès à internet)
Mode intégré : Firewall/proxy
Marsh Posté le 20-11-2004 à 10:19:37
aspegic500mg a écrit : via ldap |
tu n'as pas à gerer ldap, ton proxy via un menu va chercher tous les utilisateurs de l'AD
Marsh Posté le 20-11-2004 à 12:45:08
isanaud a écrit : tu n'as pas à gerer ldap, ton proxy via un menu va chercher tous les utilisateurs de l'AD |
Si le proxy est installé sur la meme machine que ad
Marsh Posté le 23-11-2004 à 10:47:56
ben non par definition AD est sur win2000, censornet est une distribution linux
Marsh Posté le 23-11-2004 à 13:11:36
aspegic500mg a écrit : Bah un proxy dans un sens c'est un firewall |
Ah non
va bloquer le port 4566 en UDP de LAN->WAN avec un proxy
Le proxy (WEB) gère le trafic HTTP et propose du cache et/ou du filtrage (basé sur les IP, les noms de domaine ou les URL des sites; le contenu des pages, leurs extensions, etc.)
Le firewall gère les communications entre deux interfaces réseaux en se basant sur les MAC adress, les IP, les ports, les protocoles, etc.
Marsh Posté le 23-11-2004 à 13:13:45
thebounty a écrit : Bonjour, |
Tout cela est possible par les GPO
mais si le but est d'interdire pour des machines données et quel que soit l'utilisateur l'accès à Internet, l'utilisation d'un proxy sur la passerelle ou la définition de règles de routage/firewall sur la même passerelle est plus indiqué.
Marsh Posté le 10-11-2004 à 14:12:31
Bonjour,
Je voudrais retirer tout moyen aux utilisateurs d'une salle pédagogique d'accéder à Internet.
J'ai trouvé 3 façons d'y accéder:
- en lancant Internet Explorer sur le bureau ou par une icône
- en utilisant la barre d'adresse de l'explorateur Windows
- en utilisant la commande Executer du menu démarrer
Il me sera facile de supprimer la commande Executer et de modifier les droits sur le fichier iexplore.exe.
Concernant la barre d'adresse de l'explorateur je ne vois pas comment faire hormis la cachée également mais je ne veux pas restreindre les menus de l'explorateur.
Ces PC sont dans un domaine dans lequel j'applique une stratégie.
Par quel moyen autre que la création d'une seconde stratégie et la suppression de la passerelle Internet dans la config réseau puis-je supprimer l'accès Internet ?
Merci pour vos réponses.