ComputerBase Menü
Aktuelles

Proxy per GPO

n0reaga

n0reaga

Lieutenant
Registriert
Dez. 2009
Beiträge
976
Hallo zusammen,

ich benötige einen Denkanstoß, wie ich hier weiter komme.

Ich habe im Firmennetzwerk (Windows Server 2008 R2 und Windows XP Clients) unter
Benutzerkonfiguration - Richtlinien - Windows Einstellungen - InternetExplorer-Wartung - Verbindung eine Proxyconfig eingetragen. Die GPO greift für alle User die in einer Gruppe "Internetuser" sind.

Wie bekomme ich für alle anderen User die Proxyeinstellungen aus den Internetoptionen? Ich dachte daran einen "Fakeproxy" einzutragen, wie z. B. 0.0.0.0 . Allerdings, so denke ich, müsste ich dann alle anderen User in eine Gruppe "keinInternet" stecken, das wäre aber unschön.

Hintergrund ist, der Internetzugang ging bisher ohne Proxyeinstellungen. D. h. wenn ich nur den Proxyserver rausnehme kommen die User trotzdem ins Internet.


Ich hoffe das ist verständlich erklärt, wenn nicht bitte ich um entsprechenden Hinweis.


Besten Gruß
Alex
 
Zuletzt bearbeitet:
Hole dir nen Proxy mit User Authentifizierung. Dein vorhaben kannst du vergessen das bringt nix, spätestens mit nem Portablen Browser kann man sich wieder nen beliebigen Proxy eintragen...
 
Setz einen Debian Server mit Squid auf - ist auf Dauer die beste Lösung ;)
 
Das wird nicht gehen, der Proxy wird vom Dienstleister bereitgestellt und kann nicht geändert werden.

Ich habe eine Proxyconfig bekommen ala http://proxy.dienstleister.de/proxy.pac.

Diese muss jeweils für Internetuser eingetragen werden.


@PortableBrowser: Davon gehen wir mal nicht aus, die User die keinen Internetzugang haben, sind meist eh nur Azubis und Praktis und haben gar nicht diese Fähigkeiten. Es reicht, den Normalfall abzudecken.


Ich habe folgendes getestet:
User1 in Gruppe "Internetuser" hinzugefügt
User1 hat Proxyeinstellungen in IE und kann surfen
User1 aus Gruppe "Internetuser" entfernt
User1 hat Proxyeinstellungen in IE und kann surfen, diese werden nicht automatisch entfernt

Genau das darf nicht sein.
 
Zuletzt bearbeitet:
Dann hat der Rechner die Policy einfach noch nicht gezogen. Prinzipiell sollte das funktionieren.
 
Die Policy hat per "gpupdate /force" gezogen.

Also brauche ich im Endeffekt eine Möglichkeit den Proxyeintrag zu entfernen, wenn der User nicht in der Gruppe "Internetuser" ist.
 
eine einmal gesetzt GPO wird nach entfernen dieser nicht auch wieder einstellungsseitig vom Client entfernt. Um das zu erreichen musst du den Wert mit einer anderen GPO wieder überschreiben sonst bleibt die "Alte" Einstellung auf dem Client liegen.

so long
nubi
 
Ohne zu wissen wie es jetzt genau aufgebaut ist:

- Eine OU für die User mit Proxy mit verknüpftem GPO
- Eine OU für die User ohne Proxy und dort ein GPO verknüpfen, was die Settings für den Proxy rausnimmt, damit werden die Settings der vererbten Policy überschrieben.

Oder das GPO mit den Proxysettings einfach auf die Gruppe "Internetuser" filtern, sodass es nur von dieser angewendet wird.
 
@nubi80
Das stimmt so nicht. Das nennt man Tattooing und ist AFAIK eher die Ausnahme bei GPOs.

Zwei OUs anlegen würde ich nicht, sondern 2 GPOs und diese per Security Filtering (Gruppen) zuweisen. Das mit der Gruppe hat er doch so gemacht ;)

1. Standard Policy für alle User: kein Proxy -> Standard Sicherheitseinstellungen
2. Proxy Policy, 'Gruppe Internetuser' 'Apply', Gruppe 'Domain User' Haken bei 'Apply' raus

Die GPOs in obiger Reihenfolge abarbeiten lassen.
 
Zuletzt bearbeitet:
Danke für die Antworten.

Ich habe jetzt mal hin und her getestet. Im Endeffekt habe ich jetzt einfach eine benutzerbezogene GPO, die der Gruppe Internetuser den Proxy einträgt. Da ich einem User sowieso normalerweise den Internetzugang nicht wieder entziehe, muss das Austragen des Proxy aus den Interneteinstellungen auch nicht zwingend automatisch erfolgen. In Einzelfällen kann ich immer noch per Hand dran gehen.
 
Wenn dich das wegen dem austragen des Proxy noch interessiert...

Das kannste per Registry Key machen. Von Haus aus gibts da keine GPO für.

Daher 2 GPO's erstellen und auf gleiche OU verlinken.
- niedrigere Prio: Proxy austragen
- höhere Prio: Proxy eintragen mit Security Filter auf Gruppe

Somit hast du den Proxy wieder weg wenn du den User aus der Gruppe nimmst.

Gruß
 
FBrenner schrieb:
@markus
Das habe ich ja auch schon geschrieben ;)
Zum Vergrößern anklicken....

Hi,
aber nicht die Info, dass er es per Registry austragen muss.

Und warum bei Domain User "Apply" raus? Ich würde in der Sicherheitsfilterung "Authenticated Users" raus und die InternetUser Gruppe reinmachen. Ansonsten wird die Policy von den Domainusern unnötig gelesen aber nicht angewendet (--> Performance bei Anmeldung)
 
Du mußt das nicht per Registry austragen. Du meinst wirklich, daß das performancetechnisch was ausmacht? Das ist nichtmal meßbar.
 
Ich glaub du hast Recht mit der Registry. Dann war das in Kombination mit WPAD.
Hatte jedenfalls schon mal die Situation, dass ich dort irgendeine Proxy eine Einstellung rückgängig machen musste, ging leider nur per Reg Key. Da man per GPO nur einschalten konnte.

Klar bei "einer" GPO ist das nicht messbar. Aber warum nicht direkt über den Security Filter machen, ist vom Aufwand sogar schneller als in die Sicherheits Delegierungen rein zugehen. Und man siehts schneller auf einen Blick, dass für eine bestimmte Gruppe die GPO nicht angewendet werden soll.

Funktionieren wird beides :)
 
Zuletzt bearbeitet:
Ich glaube, wir reden aneinander vorbei. Ich habe nichts von Delegierung geschrieben, sondern 'Security Filtering'.
 
sry dann hab ich es falsch verstanden :)

Dachte du würdest im Delagation Tab anpassen:
How%20to%20Implement%20Security%20Filtering%20Figure%2011117023861464.jpg


Und ich meinte im Scope Tab unten einfach Authenticated Users raus und die Gruppe rein:
How%20to%20Implement%20Security%20Filtering%20Figure%2041117024103573.jpg
 
Wie kann ich denn Prioritäten festlegen bei den GPOs?
 
Auf die OU klicken und dann rechts kannste die Anwendungsreihenfolge festlegen.
Die weiter oben steht wird als letzes angewendet, hat daher die höchste Prio.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PEASANT KING
GPO greift nicht / Externe Geräte / Hardware IDs
Antworten
7
Aufrufe
1.089
PEASANT KING
PEASANT KING
Daniel2606
Frage zu GPO Sicherheitsfilterung
Antworten
6
Aufrufe
4.475
Daniel2606
Daniel2606
Hoerli
Windows Server 2016 Über AD Ordner mit Schreibschutz versehen
Antworten
4
Aufrufe
2.520
cloudman
C
Layer8
Default Browser GPO
Antworten
9
Aufrufe
10.154
Layer8
Layer8
Buttersniper
Win7 - Automatisches Sperren per GPO deaktivieren
Antworten
1
Aufrufe
1.571
snaxilian
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz