» Как запретить доступ к интернету юзверу на локальной машине?

Есть WinXpPro с двумя пользователями: администратор - admin и органиченная учетная запись - nonet.
Как запретить доступ к интернету для ограниченой учетной записи (nonet) СРЕДСТВАМИ windows? Но при этом когда логинится админ в интеренет должен быть доступ без всяких доп действий со стороны админа.

Фильтром по руборду пользовался.
Гуглом пользовался.
Ответ типа "посмотри в локальной политике безопасности" не подходит, для начала сами туда загляните.

Задача не имеет решения.

Добавлено:
Насчет фильтра.
Как запретить доступ к интернету на локальной машине

Видел.
Но там нет решения.
Решение с hosts не катит, т.к. и админ по сайтам погулять не сможет. Придется ему ручками править, а это не есть правильно.
Решение "Юзеру права ЮЗЕРА, админ ставит фаер" не верно, т.к. если я разрешил файрволу IE выходить в интернет, то он будет выходить в интернет и под nonet. Менять режим фаера админ может забыть при выходе.

Я думаю, что юзер устанет перебирать IP или даже до этого не догадается, если ему обрубить службу DNS. Т.е. если стартовать службу только когда входит админ. Но вот тут подводный камень: админ вошел - служба стартанула, админ вышел - служба ОСТАЛАСЬ, пользователь вошел - он в шоколаде.
Как остановить службу после или во время выхода админа и чтоб автоматически.

есть простое решение.
Логон скриптами или политиками прописывается левый прокси (любой IP, где нет никакого прокси). Никакой IE с таким прокси никуда не выйдет. Если я не ошибаюсь, то пользователю можно закрыть и доступ к закладке, где прописывается IE.

Пользователь должен иметь права обычного юсера, никаких файрфоксов или других сторонних бровсеров стоять не должно (либо разбираться и с тем, где у них настройка прокси и как ее заблокировать)

О! Видишь как всё сложно и сколько но...
А надо то всего лишь запретить доступ ограниченной учетке куда либо кроме локальной сети, т.е. на любой IP кроме 192.168.0.x.

armen13
В закладке "Безопасность" закрой доступ Юзеру к папке ИЕ - он не сможет запустить браузер, значит и интернетом воспользоваться не сможет...

armen13
Можно политиками заблокировать ИЕ, чтоб не просто молча не запускался как предлагал Krechet, а ошибку выдавал.

Если есть сетка то есть и групповая политика. Создаешь разные OU, распихиваешь по ним юзера и админа и применяешь для каждого OU СВОЮ групповую политику. В одной политике запрещаешь доступ к инету, в другой разрешаешь. И все нормально, обычная практика.

Krechet, Raredemon
А вы слышали о таком браузер как MyIE2, который не требует ни установки, ни файлов IE, хоть и является надстройкой над IE??? Или мазила или опера???

SeriusDanil
Ты о чем? О AD? Дык у меня его нет. Если о настройках в роутере, то роутер у меня Dlink и что такое ОС, политики и юзеры ему не известно.

Я думаю стоит тогда задаться вопросом, как запускать службу DNS при входе админа и самое главное - как ее, службу, останавливать при выходе админа.

В Tiny Personal Firewall можно создавать правила доступа для отдельных пользователей

Средствами винды <b>никак</b>
Traffic Inspector PE

mUzd1e
Почти....
1 - Только это назвать средствами винды нельзя.
2 - С помощью этой проги почти получилось. Если зайти админом, подключиться, сменить пользователя, без выхода админа из системы, то другой пользователь, зайдя в систему, может выходить в инет, и как я понимаю, трафик будет капать за счет админа.
3- Спасибо, хоть что-то.

Вы мне про DNS расскажите лучше.

Предлагаю все-таки воспользоваться firewall. Делается это как ни странно достаточно просто. Разрешаем только одному браузеру с определенного каталога выходить в интеренет. Далеее на этот каталог ставим разрешения Admin:full, а все остальным запретить. Также можно поступить и с почтовым клиентом и с ftp-клиентом. Теперь пользователь не может выйти в интернет как бы этого не хотелось.

Привет! Подскажите, каким локальным firewall'ом лучше воспользоваться, чтобы сделать следующее:
закрыть доступ вообще на всё (т.е. чтобы ничего не работало, ни ICQ, ни POP/SMTP...) и открыть доступ только к определенному списку сайтов по HTTP (c любого браузера). При этом должна быть невидимая инсталляция и защита настроек firewall'а паролем.

armen13

Цитата:

А вы слышали о таком браузер как MyIE2, который не требует ни установки, ни файлов IE, хоть и является надстройкой над IE??? Или мазила или опера???

Мазила и Опера требуют установки.

Цитата:

Вы мне про DNS расскажите лучше.

Если ты остановишь ДНС, то не будет работать и локальная сетка тоже.

Лучший вариант описал Als


Цитата:

Предлагаю все-таки воспользоваться firewall. Делается это как ни странно достаточно просто. Разрешаем только одному браузеру с определенного каталога выходить в интеренет. Далеее на этот каталог ставим разрешения Admin:full, а все остальным запретить. Также можно поступить и с почтовым клиентом и с ftp-клиентом. Теперь пользователь не может выйти в интернет как бы этого не хотелось.

Мое мнение - это будет проще, чем пытаться извернуться виндовыми средствами... Кроме того в Win XP SP2 фаервол встроенный - т.ч. это тоже виндовое средство...

FaBioS

Цитата:

одскажите, каким локальным firewall'ом лучше воспользоваться, чтобы сделать следующее:
закрыть доступ вообще на всё (т.е. чтобы ничего не работало, ни ICQ, ни POP/SMTP...)

Outpost Firewall

Цитата:

и открыть доступ только к определенному списку сайтов по HTTP (c любого браузера).

Навскидку не помню есть ли это, поэтому можно поставить какой-нибудь траффик-фильтр.


Цитата:

При этом должна быть невидимая инсталляция и защита настроек firewall'а паролем.

Что ты подразумеваешь под невидимой инсталяцией? Защита паролем есть у Аутпоста и многих других фильтров. Или ты имеешь ввиду, чтобы небыло иконки в панели задач?

FaBioS
Outpost.
В нем есть настройка "общие правила".
Делаешь правило: Где адрес forum.ru-board.com, порт 80, разрешить эти данные.
Он может работать как служба, но администратор компа хоть кол на голове тиши выгрузить его сможет, только если пользоваться сторонними программами, которые прячут службы и процесс в списке процессов.
Als
Да, только придется посидеть правила настраивать, т.к. админ не должен чувствовать, что его где-то подрезают.

Пишешь батник
route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 [свой ip] metric 1

Добавляеш его в автозагрузку для юзера "ноинет"
для себя возвращаешь все назад route add 0.0.0.0 mask 0.0.0.0 [ip шлюза] metric 1

Еще можно usera превратить в киоск и папочку для личных документов расшарить - рули локальными групповыми политиками + NTFS не забудь...

sofos
Кого и во что превратить??? А папку зачем расшаривать?
Расскажи более подробно и на русском, плиззз.

Vby
Всё бы хорошо, только вот юзер не может менять параметры сети.
Но мысль я твою продолжил:
Т.к. юзер менять параметры сети не может, надо чтоб это делалось при загрузке компа от имени админа или системы, т.е. сервисом, долго я мучался, ища метод, как сделать сервис из батника, и нашел:
1 - Программка AppToService v2.3, взять ее можно тут
2 - Батник с текстом:
Код: route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 192.168.1.13 metric 1

а кто мешает добавить батник для пользователя, при его входе:

route delete 0.0.0.0

а для входа админа

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1

При входе админа маршрут появляется, при входе пользователя он удаляется.

Есть замечательная переменная %username% возвращает имя залогиневшегося пользователя.

@echo off
route delete 0.0.0.0
if %username% EQU name_of_admin goto admin
exit
admin:
route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1

yurynok

Цитата:

а кто мешает добавить батник для пользователя, при его входе:

route delete 0.0.0.0

а от чьего имени он будет исполняться????

Я же писал:

Цитата:

Т.к. юзер менять параметры сети не может, надо чтоб это делалось при загрузке компа от имени админа или системы, т.е. сервисом...

....хорошо бы батничек при выходе админа, даже, когда идет смена пользователей.....

по умолчанию ставим в загрузке машины кривой маршрут
например ставим в качестве шлюза свою машину.
при входе запускаем батник
если пользователь не админ то не делаем ни чего иначе ставим маршрут
при выходе запускаем второй батник
если пользователь админ то стираем маршрут, пишем его на локальную машину
иначе не делаем ничего.

yurynok

Цитата:

по умолчанию ставим в загрузке машины кривой маршрут

это я уже озвучил и согласен

Цитата:

например ставим в качестве шлюза свою машину

это лишний геморрой, т.к. IP динамический

Цитата:

при входе запускаем батник
если пользователь не админ то не делаем ни чего иначе ставим маршрут

я наверное что-то не понимаю.....
НУ КАК НЕ АДМИН ВЫПОЛНИТ ЭТОТ БАТНИК??? зачем тогда условия админ - не админ, если только админ сможет что-либо сделать???? И я об этом уже не раз говорил!

Цитата:

при выходе запускаем второй батник

Цитата:

...без всяких доп действий со стороны админа.

см. первый пост.

Я вот и спрашиваю как бы сделать
Цитата:

батничек при выходе админа, даже, когда идет смена пользователей

и чтоб он запускался АВТОМАТИЧЕСКИ?

Т.е. как сделать так, чтоб батник запускался, когда я жму выйти, сменить пользователя, выключить комп, перезагрузиться и т.д.

armen13
как унас вообще с програмированием и с логикой как, судя по всему не важно.
Батник для входа

@echo off
if %username% EQU "administrator" goto admin
user:
exit
admin:
route delete 0.0.0.0
route add 0.0.0.0 mask 255.255.255.0 ip_шлюза
exit

В первой строчке, выключаем вывод на экран
Второя проверяем имя входящего пользователя если Administrator то переходим на 5 строчку
Третья и четвертая выполняется только если пользователь не админ, там просто выход
5,6,7 добавление маршрута.

Батник для выхода

@echo off
if %username% EQU "administrator" goto admin
user:
exit
admin:
route delete 0.0.0.0
exit

Ясно, продолжать объяснять, зачем не нужно вообще говорить о запуске батника из под юзера, я не буду.
Или я не понимаю в каком месте и от чьего имени эти батники стартуются. Если речь идет о %username% значит, я так понял, этот батник уже запускается после логона.
Ладно, я соглашусь с тем, что батник надо запускать и при входе юзера, правда не понимаю зачем, если юзер все равно ничего поменять не сможет.
yurynok
Объясни мне, такому тупому, как и где ты будешь запускать
Цитата:

Батник для выхода

?
Ведь ты наверняка помнишь, что ручками ни админ, ни юзер делать ничего не должны.

у тебя стоит корпоративка там есть политика запускать скрипт при входе и выходе пользователя, там нельзя указать какого именно, поэтому в батнике идет проверка на имя пользователя, для админа правим маршрут для пользователя не правим, под рукой нет XP домой прийду, скажу где точно.


P.S. твоя система стоит дома? или есть домен?

Open the Group Policy snap-in.
In the console tree, click the Scripts node.

User Configuration
Windows Settings
Scripts (Logon/Logoff)

Вооо!!! Теперь усё ясно. Спасибо. Буду ждать точного ответа.
А с корпоративкой ты угадал. Но как?


Цитата:

P.S. твоя система стоит дома? или есть домен?

Не то и не другое. Она на работе и, пока, я до домена не дорос, но уже думаю о переходе на него.

armen13

Цитата:

Буду ждать точного ответа.

А это что?

Цитата:

Open the Group Policy snap-in.
In the console tree, click the Scripts node.

User Configuration
Windows Settings
Scripts (Logon/Logoff)

Или тебе еще перевести?

Цитата:

Не то и не другое. Она на работе и, пока, я до домена не дорос, но уже думаю о переходе на него.

А не рано?

Если на работе, то так в начале и надо было написать, например сказать есть ли прокси? Если есть то какой?

Krechet
Виноват. Я просто почему-то решил, что это для AD.

yurynok
Прокси нет, есть только роутер (DI-804HV) без авторизации и всё.

ВОООО!!! можно сказать самое главное.
Мне никто не сказал, где эту групповую политику искать...
Оказывается надо было в выполнить набить gpedit.msc. А я ее искал в локальной политике.... дурак я.
Как туда попасть другим путем я не знаю.

И как всегда по традиции я отвечаю на свой вопрос полным ответом.

Нашли два полурабочих варианта:
1 - Громоздкий и с доп ПО - Traffic Inspector PE.
2 - С батниками в сервесах и автозапуске админа.
Прочитать об этих способах можно в топике.

И одни, не думаю, что единственный, полностью рабочий вариант. Его то я и опишу точно, т.е. так как я сделал и проверил, и на какие грабли наступил во время отладки.

Имеем:
WinXp Pro Sp2 Corp Rus
Админ компа - Advanced
Ограниченная учетка - nonet
Основной шлюз - 192.168.1.1
Не существующий IP - 192.168.1.13 (вроде как и IP пациента может подойти, т.е. IP машины на которой химичим, но не проверял. Всё равно настройки TCP/IP ручками придется прописывать.)

1. В папке "c:\WINDOWS\system32\GroupPolicy\User\Scripts\" есть два каталога: Logon и Logoff в них пишем два файла. В папку "Logon" создаем файл "vhod.bat", а в "Logoff" - "vihod.bat". Лучше имена файлам дать именно такие, т.к. если будет "start.bat" или "logon.bat" это может не правильно сказаться на ходе скрипта. Что знаю точно, то это, если файл будет назваться "exit.bat", то мы никогда не выйдем из системы, т.к. внутри скрипта "exit.bat" есть строчка "exit", которая при выполнении не выходит из скрипта, а запускает его еще раз, т.к. сначала команда ищется в текущей директории, а команда, в данном случаи, совпадает с именем файла.

2. В файле "vhod.bat" пишем:
Код: @echo off
if %username% EQU Advanced goto admin
route delete 0.0.0.0
route add 0.0.0.0 mask 255.255.255.0 192.168.1.13
exit
:admin
route delete 0.0.0.0
route add 0.0.0.0 mask 255.255.255.0 192.168.1.1
exit