Autor Thema: PCMCIA: DFÜ ja, LAN nein... (Gelesen 19936 mal)

pd · « **am:** 13.10.03 - 12:13:48 »

Hallo Freunde der 102+X Tasten,

suche eine Möglichkeit einem Hauptbenutzer LAN per PCMCIA Karte zu verwehren, DFÜ aber zuzulassen.
Ist ein XP-Notebook, und die Treiber an sich sollten enthalten bleiben, da ja die Admins noch damit ins Netz kommen sollten.
Weiter Info: Wir haben einen DHCP Server im Netz.

Gruß, Patrick

MartinG · « **Antwort #1 am:** 13.10.03 - 21:26:16 »

...ganz easy ist es vermutlich nicht. So aus dem Bauch heraus gehts vermutlich über GPOs... - was ich jetzt nicht ausprobiert habe ist wenn man im Gerätemanager Geräte deaktiviert (re. Maustaste) oder die auch Normalbenutzer wieder aktivieren können...

TMC · « **Antwort #2 am:** 13.10.03 - 21:30:20 »

hmm, gibt's nicht vielleicht einen Dienst, den man da deaktivieren könnte?
Die Dienste würde ich zumindest mal durchschauen und wenn was passendes dabei ist mal testen.....

TMC

MartinG · « **Antwort #3 am:** 13.10.03 - 22:38:53 »

Dienste kann man halt auch nicht Userabhängig steuern... -

Ein Trick der allerdings nicht sehr sicher ist wenn man das ganze über HW-Profile steuert (hier kann man sehr elegant Dienste einbinden und auch Gerätetreiber im Gerätemanager) und die Wartezeit für die verschiedenen Profile beim Booten auf 1sec setzt...

Muss halt der Admin beim Booten immer drandenken und schnell sein...

TMC · « **Antwort #4 am:** 13.10.03 - 22:43:36 »

@MartinG:
Userabhängig nicht, aber wenn der Admin mal schnell was machen will, würde es afaik unter W2K / XP doch reichen diesen Dienst dann nach dem Booten zu aktivieren. Sollte W2K/XP ohne Neustart schlucken.

Ich kenne nicht die Auswirkungen des Dienstes, aber z.B. unter RAS-Verbindungsverwaltung steht "Stellt eine Netzwerkverbindung her".
Ob danach DFÜ (Modem/ISDN) noch geht, weiß ich aber nicht.

TMC

MartinG · « **Antwort #5 am:** 13.10.03 - 22:48:57 »

...klar das geht auch ohne Neustart - dann könnte PD allerdings auch die Lösung mit einem einfachen Deaktivieren der Netzwerkkarte im Gerätemanager lösen. Da braucht er beim Aktivieren auch nicht neu zu booten...

TMC · « **Antwort #6 am:** 13.10.03 - 22:52:11 »

Martin, oder so

TMC

Semeaphoros · « **Antwort #7 am:** 13.10.03 - 22:59:41 »

Also, RAS ist Remote Access Service, sprich das Herzstück von DFÜ (bzw. der englische Name dafür). Nimmt man den weg, ist nix mehr mit einwählen. Sprich, das Deaktivieren der Netzkarte im GMan ist wohl die Lösung hier. Oder man nimmt der Netzwerkkarte die Bindung an den TCPIP-Stack weg (damit wird sie in der Praxis auch "unbrauchbar"). In beiden Fällen muss der Admin im gegebenen Fall entweder das Gerät oder die Bindung wieder herstellen. Keine Ahnung, ob das bei der Protokollbindung ohne Reboot geht, sollte theoretisch (aber ist ja schliesslich MS, da weiss man nie, nicht einmal mit Probieren, hab auch schon den W2K nach deinem Reboot fragen sehen in Situationen, wo ers sonst ohne kann, und ein Deaktivieren und Reaktivieren hat geholfen ohne Reboot !! ).

pd · « **Antwort #8 am:** 14.10.03 - 08:18:30 »

Ja hossa,

was ist denn das für eine nächtliche Diskussion ;-)

Tolle Antworten, vielen Dank an alle. Mit dem Deaktivieren der Netzwerkkarte ist es dummerweise so, dass ich nach Ausgabe des Notebooks keine Kontrolle mehr habe, d.h. ich geh mal davon aus, dass wenn zB der Kollege irgende ne Ethernet Karte reinsteckt sagt XP Hallooo! und installiert das Ding, DHCP weist ne IP zu und er wäre im Netz. Lieg ich da richtig?

Die Dienste sind find ich auch ein guter Ansatz, konnte aber leider noch nicht herausfinden, ob man LAN separat ausschalten kann.

Ich suche mal weiter, freue mich über weiteres Diskutieren.

Gruß, Patrick

Semeaphoros · « **Antwort #9 am:** 14.10.03 - 08:31:41 »

Bei den Diensten kannst Dus vergessen, wenn Du DFÜ verwenden willst. DFÜ sieht von der Diensteseite nur so aus, wie eine zusätzliche Netzwerkkarte, sprich, wenn Du bei den Diensten etwas deaktivierst, deaktivierst Du jeden Zugang zum Netz, egal woher er kommt, ob Netzkarte oder DFÜ.

Denke - weiss es aber nicht sicher - wenn der User ein normaler User ist, sollte er eigentlich keine neue Hardware installieren können. Das braucht "Maschinenbesitzer" oder Admin-Rechte

Hoshee · « **Antwort #10 am:** 14.10.03 - 08:44:25 »

Yoo,

ich denke, über die Hardware/Dienste usw. läßt sich da nicht so viel machen.
Mein Ansatz wäre hier über eine Personal-Firewall alle IP-Adressen
nach RFC1918 zu sperren. Heißt ganz einfach, auch wenn eine Netwerkkarte eingestöpselt würde, wäre sie unbrauchbar, da nichts erreicht werden kann

Nachtrag: ... oder Du sperrst über die FW alle Interfaces, bis auf das Modem oder welches Gerät Du auch immer erlaubst.

Gruss ...

Hoshee

pd · « **Antwort #11 am:** 14.10.03 - 09:28:28 »

äh, nur um sicher zu gehen... was heitß FW? $:-\$

Hab jetzt auch mal alle Dienste durchgecheckt und nichts gescheites gefunden. Auch die Sicherheitsrichtlinien...

Habs oben noch gar nicht genannt, aber wünschenswert wärs auch noch wenn die User Software installieren können, aber keine Admins sind...

Ich glaube, so langsam wirds utopisch

Als Benutzer kann er glaub ich das DFÜ-Netzwerk nicht bearbeiten, was auch zwingend erforderlich ist.

Gruß und Danke

Patrick

MartinG · « **Antwort #12 am:** 14.10.03 - 11:19:20 »

FW = Firewall...

SW installieren für normale User geht problemlos zu aktivieren über GPOs. Musst Du halt den Punkt suchen - wenn Du ihn nich findest dann melde Dich nochmals...

DFÜ-Netzwerk braucht ein normaler User nicht bearbeiten zu können bis auf vielleicht die Telefonnummer und die kann er auf jeden Fall ändern...

pd · « **Antwort #13 am:** 14.10.03 - 11:35:36 »

*andiestirnpatsch* ich doddel! ;-)

ok, nachdem ich jetzt vom Schlauch wieder runter bin...

der Kollege führt Zahlungsverkehrssoftware bei Kunden vor, deshalb ist das DFÜ-Netzwerk und die Bearbeitung selbigens in diesem Ausnahmefall wichtig. Am besten ist, wenn er es frei administrieren kann, zwingend ist eigentlich nur die Änderung der Telefonnummer und das setzen von Wählregeln, sowie Eintragen von Zugangsdaten.

Ich hab den Punkt tatsächlich nicht gefunden, aber ich forsche nochmals.

Gruß und Danke

Patrick

pd · « **Antwort #14 am:** 14.10.03 - 11:51:24 »

Jetzt läufts fast *freu*

Hab den DHCP-Client deaktiviert, dadurch kann er zwar jetzt installieren was er will, er bekommt aber keine IP, und als Hauptbenutzer kann er auch keine manuell eintragen (hat zumindest bei Versuchen nicht funktioniert)

Jetzt nur noch das mir der Software installieren...

Bis demnächst

Patrick

pd · « **Antwort #15 am:** 14.10.03 - 16:42:11 »

Verdammt ich find den Punkt nid...

Martin, könntest du bitte?

Gruß und Danke

Patrick

woh · « **Antwort #16 am:** 14.10.03 - 22:16:43 »

Zitat

... , sprich, wenn Du bei den Diensten etwas deaktivierst, deaktivierst Du jeden Zugang zum Netz, egal woher er kommt, ob Netzkarte oder DFÜ.

Das seh ich nicht so eng - ich habe spaßeshalber den Arbeitsstationsdienst deaktiviert (und damit vier andere Dienste: Computerbrowser, Warndienst und 2 andere) und komme über meinen DSL-Router ins Internet (Beweis - dieser Beitrag) kann zwar noch die Netzwerkumgebung öffnen - aber dann ist Schluß.

Ob's PD weiterhilft, kann ich leider nicht testen - kein Modem im Haus und Test unter W2K durchgeführt).

Grüße
Wolfgang

Semeaphoros · « **Antwort #17 am:** 14.10.03 - 22:27:20 »

Ja, logisch, mit der sog. Workstation schaltest Du alle MS-Net-Dienste ab, aber nicht das zugrunde liegende Protokoll. Um hier reinzukommen brauchst Du "nur" TCPIP und HTTTP. TCPIP liegt unterhalb von der Workstation und HTTP ist "sort of" parallel zur Worksation, also hast Du beides nicht berührt. Du wirst Dich aber nicht mehr an einen MS-Server (egal welcher) anmelden können. Notes würde so übrigens auch noch funktionieren, das braucht nur TCPIP. Vielleicht würdest Du Dirs mal überlegen, worüber Du redest .......

woh · « **Antwort #18 am:** 15.10.03 - 00:04:56 »

schwerpunktmäßig wollte ich nur der Aussage "deaktivierst Du jeden Zugang zum Netz" widersprechen. Und der/ein Router gehört ja wohl zum Netz.

Zitat

Um hier reinzukommen brauchst Du "nur" TCPIP und HTTTP.

hier = Router

logo - hier lag mein Denkfehler.

Zitat

Du wirst Dich aber nicht mehr an einen MS-Server (egal welcher) anmelden können. Notes würde so übrigens auch noch funktionieren

hab ich nicht behauptet bzw. das mit Lotus bezweifelt.

@ PD - danke für den Thread

ich hab' jetzt die Lösung für was

Wolfgang

Semeaphoros · « **Antwort #19 am:** 15.10.03 - 00:30:13 »

Sorry, aber Dein Kommentar ist unsinnig, da er mit der Fragestellung nicht sehr viel zu tun hat und in der Form Spizfindigkeiten aufgreift.