Proxy per GPO

[n0reaga]

Hallo zusammen,

ich benötige einen Denkanstoß, wie ich hier weiter komme.

Ich habe im Firmennetzwerk (Windows Server 2008 R2 und Windows XP Clients) unter
Benutzerkonfiguration - Richtlinien - Windows Einstellungen - InternetExplorer-Wartung - Verbindung eine Proxyconfig eingetragen. Die GPO greift für alle User die in einer Gruppe "Internetuser" sind.

Wie bekomme ich für alle anderen User die Proxyeinstellungen aus den Internetoptionen? Ich dachte daran einen "Fakeproxy" einzutragen, wie z. B. 0.0.0.0 . Allerdings, so denke ich, müsste ich dann alle anderen User in eine Gruppe "keinInternet" stecken, das wäre aber unschön.

Hintergrund ist, der Internetzugang ging bisher ohne Proxyeinstellungen. D. h. wenn ich nur den Proxyserver rausnehme kommen die User trotzdem ins Internet.


Ich hoffe das ist verständlich erklärt, wenn nicht bitte ich um entsprechenden Hinweis.


Besten Gruß
Alex

 

[Revolution]

Hole dir nen Proxy mit User Authentifizierung. Dein vorhaben kannst du vergessen das bringt nix, spätestens mit nem Portablen Browser kann man sich wieder nen beliebigen Proxy eintragen...

 

[fireblade_xx]

Setz einen Debian Server mit Squid auf - ist auf Dauer die beste Lösung

 

[n0reaga]

Das wird nicht gehen, der Proxy wird vom Dienstleister bereitgestellt und kann nicht geändert werden.

Ich habe eine Proxyconfig bekommen ala http://proxy.dienstleister.de/proxy.pac.

Diese muss jeweils für Internetuser eingetragen werden.


@PortableBrowser: Davon gehen wir mal nicht aus, die User die keinen Internetzugang haben, sind meist eh nur Azubis und Praktis und haben gar nicht diese Fähigkeiten. Es reicht, den Normalfall abzudecken.


Ich habe folgendes getestet:
User1 in Gruppe "Internetuser" hinzugefügt
User1 hat Proxyeinstellungen in IE und kann surfen
User1 aus Gruppe "Internetuser" entfernt
User1 hat Proxyeinstellungen in IE und kann surfen, diese werden nicht automatisch entfernt

Genau das darf nicht sein.

 

[Frightener]

Dann hat der Rechner die Policy einfach noch nicht gezogen. Prinzipiell sollte das funktionieren.

 

[n0reaga]

Die Policy hat per "gpupdate /force" gezogen.

Also brauche ich im Endeffekt eine Möglichkeit den Proxyeintrag zu entfernen, wenn der User nicht in der Gruppe "Internetuser" ist.

 

[nubi80]

eine einmal gesetzt GPO wird nach entfernen dieser nicht auch wieder einstellungsseitig vom Client entfernt. Um das zu erreichen musst du den Wert mit einer anderen GPO wieder überschreiben sonst bleibt die "Alte" Einstellung auf dem Client liegen.

so long
nubi

 

[ShaÐe45]

Ohne zu wissen wie es jetzt genau aufgebaut ist:

- Eine OU für die User mit Proxy mit verknüpftem GPO
- Eine OU für die User ohne Proxy und dort ein GPO verknüpfen, was die Settings für den Proxy rausnimmt, damit werden die Settings der vererbten Policy überschrieben.

Oder das GPO mit den Proxysettings einfach auf die Gruppe "Internetuser" filtern, sodass es nur von dieser angewendet wird.

 

[Frightener]

@nubi80
Das stimmt so nicht. Das nennt man Tattooing und ist AFAIK eher die Ausnahme bei GPOs.

Zwei OUs anlegen würde ich nicht, sondern 2 GPOs und diese per Security Filtering (Gruppen) zuweisen. Das mit der Gruppe hat er doch so gemacht

1. Standard Policy für alle User: kein Proxy -> Standard Sicherheitseinstellungen
2. Proxy Policy, 'Gruppe Internetuser' 'Apply', Gruppe 'Domain User' Haken bei 'Apply' raus

Die GPOs in obiger Reihenfolge abarbeiten lassen.

 

[n0reaga]

Danke für die Antworten.

Ich habe jetzt mal hin und her getestet. Im Endeffekt habe ich jetzt einfach eine benutzerbezogene GPO, die der Gruppe Internetuser den Proxy einträgt. Da ich einem User sowieso normalerweise den Internetzugang nicht wieder entziehe, muss das Austragen des Proxy aus den Interneteinstellungen auch nicht zwingend automatisch erfolgen. In Einzelfällen kann ich immer noch per Hand dran gehen.

 

[markus84]

Wenn dich das wegen dem austragen des Proxy noch interessiert...

Das kannste per Registry Key machen. Von Haus aus gibts da keine GPO für.

Daher 2 GPO's erstellen und auf gleiche OU verlinken.
- niedrigere Prio: Proxy austragen
- höhere Prio: Proxy eintragen mit Security Filter auf Gruppe

Somit hast du den Proxy wieder weg wenn du den User aus der Gruppe nimmst.

Gruß

 

[Frightener]

@markus
Das habe ich ja auch schon geschrieben

 

[markus84]

@markus
Das habe ich ja auch schon geschrieben

Hi,
aber nicht die Info, dass er es per Registry austragen muss.

Und warum bei Domain User "Apply" raus? Ich würde in der Sicherheitsfilterung "Authenticated Users" raus und die InternetUser Gruppe reinmachen. Ansonsten wird die Policy von den Domainusern unnötig gelesen aber nicht angewendet (--> Performance bei Anmeldung)

 

[Frightener]

Du mußt das nicht per Registry austragen. Du meinst wirklich, daß das performancetechnisch was ausmacht? Das ist nichtmal meßbar.

 

[markus84]

Ich glaub du hast Recht mit der Registry. Dann war das in Kombination mit WPAD.
Hatte jedenfalls schon mal die Situation, dass ich dort irgendeine Proxy eine Einstellung rückgängig machen musste, ging leider nur per Reg Key. Da man per GPO nur einschalten konnte.

Klar bei "einer" GPO ist das nicht messbar. Aber warum nicht direkt über den Security Filter machen, ist vom Aufwand sogar schneller als in die Sicherheits Delegierungen rein zugehen. Und man siehts schneller auf einen Blick, dass für eine bestimmte Gruppe die GPO nicht angewendet werden soll.

Funktionieren wird beides

 

[Frightener]

Ich glaube, wir reden aneinander vorbei. Ich habe nichts von Delegierung geschrieben, sondern 'Security Filtering'.

 

[markus84]

sry dann hab ich es falsch verstanden

Dachte du würdest im Delagation Tab anpassen:

Und ich meinte im Scope Tab unten einfach Authenticated Users raus und die Gruppe rein:

 

[Frightener]

Ich konfiguriere das in den Sicherheitseinstellungen

 

[n0reaga]

Wie kann ich denn Prioritäten festlegen bei den GPOs?

 

[markus84]

Auf die OU klicken und dann rechts kannste die Anwendungsreihenfolge festlegen.
Die weiter oben steht wird als letzes angewendet, hat daher die höchste Prio.