ComputerBase Menü
Aktuelles

Alle Internetseiten bis auf zwei Ausnahmen sperren

@Moepi: Kaffee steht fertig für dich hier! Musst nur noch kommen.

Argh! Update der ganzen Geschichte:
Der Kunde will nun zwei PCs: Einmal das Infoterminal auf dem nur die 2 Seiten gehen sollen und jetzt neu noch einen Arbeitsplatz fürs Büro, wo alle Seiten funktionieren sollen.
Funktioniert das mit den Einstellungen im Router noch, oder bleibt nur die Lösung über "route"?
 
Zuletzt bearbeitet:
Der Befehl "route" ist unabhängig vom Router. Der Arbeitsplatz PC bleibt mit der normalen LAN konfiguration unangetastet. Für das Terminal verwendest du die "route" Lösung
 
Tja Prophet, ich würd Dir gern zustimmen, aber ich muss Dir widersprechen. Und damit auch meine wunderschöne Lösung von vorhin den Bach runter gehen lassen. Wir haben nämlich alle postuliert, dass eine Website auf GENAU EINEM Server läuft, und nicht auf mehreren. Eben das ist aber allein schon bei Computerbase nicht der Fall:
www.computerbase.de, www.forumbase.de, pics.computerbase.de - das sind alles unterschiedliche IPs! Gut, auf ner Seite wie Computerbase ginge es noch, einfach die 3 Adressen einzutragen, aber auf eBay - ich schätze mal die haben 20 verschiedene Server. Das wird zu nem administrative nightmare! Kurz um: die Lösung ist super für Websites mit einer IP, aber für viele große Seiten ist das untauglich.

Was bleibt zu tun? Proxyserver! Klar, das is ne elegante Lösung die auch den größten Seiten Herr wird, da ein Proxy mit Wildcards arbeitet (*.ebay.de, *.ebay.com). Damit is das Problem gelöst. Aber der kostet Geld.

Aber: Windows hat da was integriert - den Inhaltsfilter. Er ist eigentlich für Eltern gedacht, damit sie die Kontrolle haben, wo ihre Sprösslinge um Netz unterwegs sind. Da kann man einfach ne Wildcard (*) eintragen und blocken sagen. Dann kommt erstmal keiner mehr rein. Und dann gehn wir genau wie bei nem Proxy her und konfigurieren Ausnahmen.
Wenn jemand die erlaubten Seiten verlässt, kommt ne Meldung von wegen Inhaltsblocking und ne Aufforderung zur Passworteingabe. Kostenlos, schnell, einfach und effektiv. Nur draufkommen muss man! :D


//edit: Forumbase und Computerbase laufen auf der selben IP, pics.computerbase.de aber auf ner anderen.
 
Inhaltsfilter wo gibts den denn, habe noch keine Kinder ;) Achja und CB und FB haben schon die gleiche IP´s wenn dann erfolgt die Aufteilung eh über Loadbalancer.
 
Round Robin LB würde aber erfordern, dass der Inhalt der kompletten Seite auf mehr als einem Server gespeichert ist. Das meine ich aber garnicht. Einige Inhalte, bei Computerbase sind es alle Bilder, sind auf einen Dateiserver ausgelagert. So hat es zumindest den anschein. :P
 
Ok Ok geb mich geschlagen... ;) Mal schauen was Tobi dazu sagt...
 
Moepi und ich werden das diese Woche beim Kunden mal testen. Bis dato hört sich die Lösung mit dem Inhaltsfilter jedoch schon verdammt perfekt an.
Ende der Woche wissen wir (ihr) mehr.
 
Windows hat da was integriert - den Inhaltsfilter.
Zum Vergrößern anklicken....

Wenn ich das richtig sehe, ist damit der IE gemeint. Hat dass dann nicht wieder den Nachteil, dass die Lösung browserspezifisch wäre.Was ist, wenn jemand einen anderen Browser nimmt. Es gibt welche, die passen auf eine Diskette.
 
Und da kommt das ins Spiel, womit ich seit nunmehr 9 Stunden beschäftigt bin: Gruppenrichtlinien ohne Active Directory. Wenn ich mit dem Rechner fertig bin kommt da nicht mal ein Panzer rein!! :king:
Ich installier den Rechner grad zum dritten mal heute neu - hab mich mal wieder ausgesperrt. Man glaubt es kaum aber es ist möglich... *fg*

@ Tobi: Wir brauchen so ein Diskettenlaufwerksschloss. Das wird der einzige Weg sein, wie man mim Adminkonto die Gruppenrichtlinien als Admin wieder ändern kann *harharhar* :smokin:
 
Zuletzt bearbeitet:
Moepi schrieb:
Und da kommt das ins Spiel, womit ich seit nunmehr 9 Stunden beschäftigt bin: Gruppenrichtlinien ohne Active Directory. Wenn ich mit dem Rechner fertig bin kommt da nicht mal ein Panzer rein!! :king:

@ Tobi: Wir brauchen so ein Diskettenlaufwerksschloss. Das wird der einzige Weg sein, wie man mim Adminkonto die Gruppenrichtlinien als Admin wieder ändern kann *harharhar*
Zum Vergrößern anklicken....
Du übertreibst schon wieder... Ich fand die bis dato Lösung schon sehr gut.
Bis auf die Tatsache das jdm. bewaffnet mit einer Diskette, auf der ein Minibrowser installiert ist, in ein Sportgeschäft geht, um dann dort im Internet zu surfen ;)
 
Zuletzt bearbeitet:
Ne Tobi das Problem ist folgendes bei den Gruppenrichtlinien:

Lassen wir sie komplett weg, haben die Leute Zugang zu dem Rechner als normaler Benutzer. Da kannste drauf warten, bis es softwareseitig schrott ist. Also müssen wir ihn schützen.
Die Gruppenrichtlinien sind dabei die Lösung, haben aber einen kleinen Haken: sie gelten für ALLE Benutzer am Rechner. Mach ich also mit den Gruppenrichtlinien den Rechner dicht, dann gilt das auch fürs Adminkonto und die Folge ist, dass man sich selbst aussperrt.

Mittlerweile hab ich ne Lösung gefunden, wie ich verhindere, dass die Gruppenrichtlinie sich auf das Adminkonto auswirkt. Allerdings soll ja die Richtlinie später auch noch mal modifizierbar sein. Und eben dafür brauchen wir dann die Diskette:
1) Der Rechner wird gestartet und man meldet sich als Admin an
2) Man gibt dem Useraccount, der zum Surfen benutzt wird, temporär Adminrechte
3) Man meldet sich als User an
4) Man startet die gpedit.msc von der Diskette (muss von Disk sein, da auf die Platte kein direkter Zugriff sein soll)
5) Man verändert alles was man will und meldet sich ab
6) Man meldet sich nochmal als Admin an und nimmt dem User wieder die Adminrechte.


Auf diese Weise kann man die Richtlinien mit wenigen Handgriffen ändern und sperrt die Kiste gleichzeitig vor jedwegem unauthorisierten Zugriff.
 
Moepi schrieb:
@ Tobi: Wir brauchen so ein Diskettenlaufwerksschloss. Das wird der einzige Weg sein, wie man mim Adminkonto die Gruppenrichtlinien als Admin wieder ändern kann *harharhar* :smokin:
Zum Vergrößern anklicken....
Ich hab gerade extra noch mal nachgeguckt! Der neue PC hat sogar noch ein Floppy. MAn glaubt es kaum! Und das in der Zeit von 1GB USB-Stricks :D
 
*PUUHHH*
Grade nochmal Glück gehabt. Ne Notfalls könnten wir auch ne Partition machen, auf der die Files liegen und die User halt keinen schreibzugriff bekommen. Wäre auch denkbar...

Ich bin grad wieder beim Grafikkartentreiber - ich ertrag den Windows Standardtreiber nicht. Ich hätt mir heut morgen ein Image von der Platte machen sollen...
 
Die Gruppenrichtlinien sind dabei die Lösung, haben aber einen kleinen Haken: sie gelten für ALLE Benutzer am Rechner. Mach ich also mit den Gruppenrichtlinien den Rechner dicht, dann gilt das auch fürs Adminkonto und die Folge ist, dass man sich selbst aussperrt.
Zum Vergrößern anklicken....

Dafür gibt's ne einfachere Lösung :



Überprüfe mal die Einstellungen für die Benutzerrechte für den Ordner :

%systemroot%\System32\Group Policy

Hier ist die Stelle, an der man die Gruppenrichtlinien aushebeln kann (als Admin- logisch), indem man den Benutzern, auf die die Gruppenrichtlinien nicht angewendet werden sollen, keinen Zugriff auf diesen Ordner gibt, in dem die Anwendung der Gruppenrichtlinien gesteuert wird. Man muss sich das vorstellen wie das Prinzip der doppelten Verneinung.
 
Daran hatte ich auch gedacht, nur scheinen nicht die Benutzer diejenen zu sein...

Es sieht für mich wie folgt aus:

c:\windows\system32\grouppolicy\user\registry.pol
Hier wird das "Template" hinterlegt

c:\dokumente und einstellungen\%username%\ntuser.pol
Die ntuser.pol wird bei jedem Anmelden vom Systemaccount aus der registry.pol erstellt. Falls diese Theorie stimmt, dann hilft es nichts, wenn ich einzelnen Benutzern das Recht zum lesen der registry.pol verweigere.


Ich hab das Problem jetzt andersrum angepackt: ich hab einfach dem Systemaccount den Schreibzugriff auf die fragliche ntuser.pol explizit verwehrt. Das war das einzige, was bisher gefruchtet hat.


_______________

Alles in allem hab ich den Testrechner jetzt fertig und es gefällt mir bestens. Wir brauchen noch nicht mal die Diskette, da die registry.pol als Admin bearbeitet werden kann. Sie wird nur eben nicht auf das Adminkonto angewendet, auf den User aber schon.

Mit dem Inhaltsfilter hats noch ein kleines Problem gegeben:
Auf Seiten, die von einem Filtersystem namen RSAC freigegeben waren (www.microsoft.com, www.wetter.de, www.msn.de um nur einige zu nennen), waren zugänglich - trotz meiner Wildcard-Verneinung. Ich hab jetzt einfach die rsac.rat genommen und hab ein par "moepmeop" hier und da eingefügt :D
Auf jeden Fall is es jetzt still *fg*


Unterm Strich kann ich jetzt in Frieden meinen Tee trinken, mein Pennicillin futtern und dann ins Bettchen gehen.
 
@Moepi

...Falls diese Theorie stimmt, dann hilft es nichts, wenn ich einzelnen Benutzern das Recht zum lesen der registry.pol verweigere.
Zum Vergrößern anklicken....

Schau mal hier :

http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_Standalone_ohne_AD.htm

Da steht bezüglich der universellen Gültigkeit der Gruppenrichtlinien auf Standalone-Rechnern :

1. Die Änderungen[der Richtlinien] werden sofort durchgeführt und an zwei Stellen automatisch und direkt in zwei verschiedenen Dateien gespeichert.


2. a) als ntuser.pol im aktuellen Profilverzeichnis des Vorlagen-Users ( i.d.R. unter \Dokumente und Einstellungen\ %username% ) b) als registry.pol unter %systemroot%\system32\GroupPolicy\User, bzw. unter %systemroot%\system32\GroupPolicy\Machine, wenn die Änderungen den PC betreffen



3. Die registry.pol im \USER-Verzeichnis muß gelöscht oder umbenannt werden, oder dem Administrator per NTFS Berechtigungen das Leserecht verweigert werden.




Ansonsten importiert der Administrator automatisch die Einstellungen aus diesem Verzeichnis in seine eigene ntuser.dat.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Moepi schrieb:
[...]
Jetzt machst Du ne Commandline auf und trägst auf dem Rechner ne statische Hostroute ein:
route add -p 66.102.9.99 mask 255.255.255.255 205.249.93.101

[...]
Zum Vergrößern anklicken....

Aber die IP 66.102.9.99 alleine reicht nicht aus. Was ist, wenn z.B. mal dieser Google Server ausfällt ?
Also wenn eine Website mehrere Server, bzw. IP's hat, solltest du auch mehrere eintragen.
Ich habe z.B. gerade die IP 216.239.59.104 zurückbekommen & beim zweiten mal die selbige, wie Moepi.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Mehrere Internetseiten via Fritzbox gesperrt, nur Youtube lässt sich nicht sperren?!
Antworten
14
Aufrufe
8.642
Purche
P
T
Internetseiten in Firefox sperren um sich nicht so leicht ablenken zu lassen
Antworten
9
Aufrufe
2.167
Thukydides
T
K
Fritzbox 5490 / 7490 Internetseiten sperren
Antworten
6
Aufrufe
10.521
puri
puri
C
Internetseiten (Blacklist) sperren Browserabhänig?
Antworten
7
Aufrufe
2.066
Jesterfox
Jesterfox
S
Notebook für Programminstallationen/div. Internetseitem sperren!?
Antworten
10
Aufrufe
1.120
skotti99
S

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz