locked
Internetsperrung für eine bestimme AD-Gruppe--> Regel greift nicht RRS feed

  • Frage

  • Hallo Forum,

     

    nach langer langer Zeit habe ich wieder eine Frage an die Experten,

    Ich benutze ISA 2006 Standart (single Nic) + GFi Webmonitor 2009.

     

    Ich möchte für eine bestimmt AD-Gruppe das Internet sperren.

    Ich bin folgendermaßen vorgegangen:

     

    Ich habe eine neue Firewallrichtlinie erstellt von Intern nach Extern(zwar single nic, aber nach extern funktionier) für Protokolle HTTP + HTTPS und bei Benutzer habe ich die gewünschte AD-Gruppe ausgewählt. Diese Regel habe ich an erste stelle plaziert.

     

    Soweit so gut, aus Spass habe ich mir erlaubt die Protokollierung einzuschalten und zu gucken ob mein Admin-Account geblcokt wird.

     

    Siehe da wenn ich ganz normal im Internet surfe , bekomme ich in der Protokollierung zu sehen das manche Seiten druch die neu erstellt Fireewallrichtlinie geblockt werden. Ich bin aber nicht in der bestimmten AD-Gruppe drinnen.

     

    Mache ich irgendetwas faslch ?

     

    Vielen Dank..

     

    Dienstag, 10. Januar 2012 14:36

Alle Antworten

  • Hi,

    ISA 2006 arbeitet die Regel nach First Match von Oben nach Unten ab. Wenn Du also nicht in der Regel drin bist (die ja Zugriffe erlaubt), evaluiert ISA die naechste Regel, welche den Zugriff erlaubt. Damit Du mit Benutzerauthentifizierung in Firewallregeln arbeiten kannst, muss Dein Client Webproxy Client oder ISA Firewall Client sein


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 10. Januar 2012 18:38
  • Moin,

    du solltest die Logic drehen. Erst die Regeln, die den Internetzugriff für bestimmte Gruppen erlauben und danach eine die "Allen" den Internetzigriff verbietet ...


    Viele Grüße Carsten
    Montag, 16. Januar 2012 07:37
  • Hallo Wolverin und Marc,

     

    vielen Dank für eure Antworten.

     

    Ich habe folgende Regeln:

    Regel1-->bestimmte Domänennamenssätze-->Alle Benutzer

    Regel2-->Erlauben-->Authentifizierte Benutzer

    Regel3-->Verweigern-->Authentifizierte Benutzer

    Standartregel-->Verweigern-->Alle Benutzer

     

     

    müsste ich jetzt meine neue Regeln zwischen Regel2 und Regel 3 schalten. Also dann so:

    Regel1-->bestimmte Domänennamenssätze-->Alle Benutzer

    Regel2-->Erlauben-->Authentifizierte Benutzer

    Regel NEU-->verweigern--> Bestimmte Ad-Gruppe

    Regel3-->Verweigern-->Authentifizierte Benutzer

    Standartregel-->Verweigern-->Alle Benutzer

     

    Vielen Dank

     

     

     

    Mittwoch, 18. Januar 2012 07:57
  • Hi,

    Regel 3 muss vor Regel 2:
    http://technet.microsoft.com/en-us/library/bb794766.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 18. Januar 2012 18:45
  • wozu die tür aufschließen, wenn sie schon offen ist?
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 18. Januar 2012 20:20