Hy Leute..!!

Ich habe ein kleines Problem. Ich müsste da eine Internet-Station aufbauen und verkabeln. Ich hab dazu einen kleinen Pundit-PC bestellt. Nun stellt sich aber immernoch die Frage wie ich das am besten löse. Eigentlich hatte ich vor, das über die lokale Gruppenrichtlinie zu lösen, dabei hab ich nun aber ein Problem. Ist es irgendwie möglich, die lokale Policies Benutzerspezifisch anzuwenden? Wenn ich nämlich als User die Richtlinien veränder, dann wird diese auch für den Admin übernommen, also halt tatsächlich lokal! Kann man das umgehen oder gibt es andere Möglichkeiten?

Mein Ziel ist es, den PC so zu schützen, dass er ausschliesslich ins Internet kann (iexplorer.exe). Ausserdem sollen alle Einstellungen im IE gesperrt werden - das ist ja an sich kein Problem. Im Startmenu soll nur der IE vorhanden sein, und Windows-Tastatur-Kürzel sollen deaktiviert werden (Strg-A, Strg-R,..) Halt alles auf s'Minimum begrenzt. Trotzdem soll es von einem Konto aus möglich sein, mal ein Dokument (http) zu drucken, oder ähnliches..!

Habt ihr da bessere Ideen das umzusetzen? Schnell, günstig und ideal? Ich hab mir auch mal eine Internet-Caffee-Software angeschaut, das wäre auch ideal aber halt dann ein anderer Kostenpunkt..!?

Was könntet Ihr mir vorschlagen??

Wir machen das ueber ein spezielles VLAN, das nur zum Internetrouter fuehrt und vom Intranet völlig abgekoppelt ist, obwohl alles ueber die selbe physikalische Leitung flattert. Internet fuer Gäste quasi.

Oder den einen PC fuers Internet einfach durchpatchen, so dass er eine seperate Leitung zu euerm Internet Router hat.

Damit sparst du dir das ganze Policy Gedönse
und hast die Garantie, dass der Rechner NUR ins Internet geht und nichts mit dem Intranet zu schaffen hat.

Hy Spacyfreak:
Danke für die schnelle Antwort, aber ich versteh's nicht ganz..!?

1. Hab ich eine physische Leitung direkt zum Router.

2. Was nützt mir das?

3. Erklär mir bitte VLAN etwas genauer..!?

4. Und die lokale Sicherheit ist ja dann noch längstens nicht geregelt, oder? Das heisst, der Benutzer kann in die Einstellungen des IE und dort machen was er will..!?

Versteh ich da etwas falsch?

VLANs sind virtuelle Subnetze auf Layer 2 Ebene. Normalerweise ist ja ein Router in der Mitte, und an jedem Router-Interface hängt ein Switch, und alle Ports dieses Switches sind in EINEM Subnetz. Mit VLANs kann ich bestimmen, dass einzelne PORTS der Switches in anderen Subnetzen sind als die übrigen. Also logische Subnetzbildung unabhängig von der Physik.
Das ganze passiert auf Protokollebene. (802.1q Trunking oder bei Cisco auch proprietäres ISL- Trunking)
In den Ethernet Frame wird ein neuer Tag eingesetzt, der die VLAN-ID enthält. Durch diesen Tag können die verschiedenen VLANs von den Switches / Routern unterschieden werden.
Dazu braucht man natuerlich auch Switches u. Router, die VLAN Technik unterstuetzen. Ich kenn halt euer Netz nicht. Mit VLANs kann man das Intranet eben gut vor solchen "Gäste-Internet-PCs" schützen. Obwohl Intranet und das "Gäste-VLAN" ueber das selbe kabel flattern, sind sie logisch völlig voneinander ge-
trennt. Hat z.B. ein Gäste-PC einen Wurm oder was auch immer drauf, kann dieser nicht das Intranet schädigen, da sich beide in unterschiedlichen VLANs befinden. VLANs werden auf dem Router und auf den Switches angelegt. Anschliessend werden bestimmte Switchports einem bestimmten VLAN zugeordnet, zb. Port 1 ins VLAN "Gästenetz".
Um von einem VLAN in das andere zu kommen, muss auf dem Router eine Route zwischen beiden VLANs angelegt werden. Lege ich jedoch fest, dass das Gäste-VLAN NUR ins Internet kommen soll, dann ist mein Intranet-VLAN vor diesem Rechner geschützt.


Mit ACL Listen kann man dann noch genau festlegen, welche Rechner in welchen VLANs
auf welchen Ports wirken dürfen.


Dir geht es aber scheinbar mehr darum, den PC selber vor Manipulationen bzw. Verstellen der Einstellungen zu schützen, und weniger, zu verhindern, dass der PC Einfluss auf das Intranet nehmen kann.
Zu verhindern, dass User auf dem Internet-PC Einstellungen verändern, geht durch Anlegen des
"Gast"-Kontos wuerd ich mal sagen.
Ansonsten gibt es eine sehr interessante Software,
"PC-Wächter", die auch in Internet Cafes eingesetzt wird. Egal, was der User auf dem Rechner einstellt (so er denn ueberhaupt was einstellen kann) wird beim Neustart des Rechners rueckgängig gemacht. Coole Sache das!
http://www.dr-kaiser.de/

Alternativ wäre natürlich auch ein Acronis Image des Rechners denkbar.
Also, ich wuerd mir da nicht das Hirn mit GPOs verbiegen.

Habt ihr eine Windows 2000 oder 2003 Domäne ???

Nein, mit einer Domäne wäre das ja nicht das Problem, darum red ich auch von den lokalen Policies..!! Nix Domäne, nix Server, nur Lokale Internet-Station..!!

In den TCP/IP Eigenschaften der Netzwerkverbindung kannst auch bestimmte Ports dichtmachen, und z.B. NUR 80 und 443 durchlassen.

TCP/IP Eigenschaften / Erweitert / Optionen /
TCP/IP Filter.

Wenn du eh eine direkte Verbindung zum Router hast, kannst vielleicht auf dem Router festlegen, dass der Internet-PC nicht aufs Intranet zugreifen darf/soll.

hi

Ich wollte das bei einem Standalone PC (für eine Ausstellung) auch mal machen. Auf dem Standalone PC durfte damals nur ein einziges Programm gestartet werden. Ich hatte dort auch keine Domäne zur verfügung.

Ich konnte mit dem "gebastel" unter folgendem Link etwas anfangen. Die Sache hat nicht schlecht funktioniert.

http://www.freenet.de/freenet/comput..._xp/index.html

Ich hatte anschliessend einen Adminaccount, der volle Berechtigung hatte und einen User (mit autologon) der nur das gewünschte *.exe starten konnte.

Das gebastel mit dem reinkopieren der pol's war relativ mühsam, aber es funktionierte.

weitere Infos und Kioskprofile unter www.gruppenrichtlinien.de