Bonjour,
 
Je voudrais retirer tout moyen aux utilisateurs d'une salle pédagogique d'accéder à Internet.
J'ai trouvé 3 façons d'y accéder:
 
- en lancant Internet Explorer sur le bureau ou par une icône
- en utilisant la barre d'adresse de l'explorateur Windows
- en utilisant la commande Executer du menu démarrer
 
Il me sera facile de supprimer la commande Executer et de modifier les droits sur le fichier iexplore.exe.
 
Concernant la barre d'adresse de l'explorateur je ne vois pas comment faire hormis la cachée également mais je ne veux pas restreindre les menus de l'explorateur.
 
Ces PC sont dans un domaine dans lequel j'applique une stratégie.  
 
Par quel moyen autre que la création d'une seconde stratégie et la suppression de la passerelle Internet dans la config réseau puis-je supprimer l'accès Internet ?
 
Merci pour vos réponses.

supprime la paserelle.
vu que surement en rezo, sans paserelle pas de net mais le rezo marche.
 
sinon il doit bien avoir des prog qui limite les users, surtout sous 2000 ou xp

ouais, dans le registre, ya pas mal de clés qui bloquent internet et tout.... j'ai plus ça sous la main mais sur  
www.regedit.com tu devrais trouver si tu cherche un peu

Vous avez pas un serveur proxy ? des beaux groupes pour autoriser l'accès aux gens ? et le refuser aux autres ? comme ça vos config de postes restent intègre.

sinon pour editer la base de registre tu peux utiliser la commande gpedit.msc

des détails sur l'architecture du serait le bienvenue
 
Dans le cadre ou le reseau est assez important (au niveau nombre de pc) le proxy devient quasiment indispensable !

Bloquer toute sortie réseau à ces machines depuis le routeur/proxy, c'est la solution la plus propre et la plus sûre.
 
et/ou
 
Mettre un Firewall sur les machines à bloquer, 2 règles
réseau local : permitted
le reste : blocked

+1
deux strategies users : un groupe autorisé avec parametrage proxy, l'autre sans paramétrage ... et les deux groupes avec interdiction de modif par le user

dans le cas de l'utilisation d'un proxy, je te conseille la distribution censornet qui permet de recupérerles utilisateurs de ton serveur win et de tout controler de n'importe quelle station via une interface web

deux strategies users  
GPO +1

Bien. Merci à tous pour vos réponses. J'ai une question concernant le proxy (il y'en a un en place) est-il possible que malgré l'absence de passerelle dans la config des clients (réservations DHCP) l'utilisateur arrive quand même à surfer sur Internet grâce au proxy ?

Petite précision: je souhaite que les utilisateurs connectés en local ne puisse pas avoir Internet mais que lorsqu'ils se logent sur le domaine il puisse y avoir accès. J'ai consulté un tip pour bloquer l'accès à internet (mettre une adresse proxy bidon). Cela marche quand je me log en local mais aussi quand je me log sur le domaine. ça ne résoud donc pas mon pb.
 

Je réfléchis mais je ne vois pas de diffilcultée particulière. La connexion d'un groupe d'individu en local peut être différenciée de la configuration propulsée par le serveur dans le GPO (Xsetup permet de generé un .reg à installer sur toutes les machines.
Le DHCP doit donner un minimum d'infos pour permettre la connexion au réseau. Après faut affiner.
Je suis sur qu'i y a encore plus simple, mais comme toujours c'est plus long à expliquer.
Attention, les GPO ont évolué avec le couple 2003 / XP Pro

C'est bon j'ai trouvé. Merci.

 
oui c'est justement l'avantage du proxy.
 
ni passerelle et ni dns de configuré et ça marche quand même.

et quelle a été ta solution?

Une autre décision concernant l'utilisation des 10 machines dont je dois interdir l'accès. Il y'a eu qqs changements.
 
Les utilisateurs doivent avoir accès à leur espace de stockage sur le serveur donc il faut que je configure les machines pour qu'ils puissent se loger sur le domaine.
 
La soluce que e vais utiliser mais qui est à mon avis pas la plus simple: un firewall dans la salle.j'autorise l'ouverture de session mais que je bloque le reste en sortie.  
 
A votre avis (même si vous pensez comme moi que c'est pas la bonne soluce), est-ce que je dois faire un firewall sous debian ou sous windows (2000 pro je pense). Sachant que la sécurité de mon réseau est "garantie" par un autre parefeu ?
 
J'ai entendu parler d'un soft sous linux qui permet de faire  des règles iptables et de l'administrer via une interface web (c'est pas webmin).

Si clients XP ou 2000 ...
GPO ....
C'est vraiment plus simple et personnalisable à souhait

Ca serait mieux de faire une GPO mais ... explications:
 
j'ai une UO "etudiants" sur laquelle j'applique une gpo qui dit proxy=bidon:5555. dans cette uo j'ai 2 UO, etu1 et etu2 sur lesquelles je n'applique pas de GPO.
 
Je n'utilise que des stratégies utilisateurs.
 
Je n'ai aucun moyen de savoir quels étudiants circulent dans cette salle (rq: c une salle pédagogique). le prof. souhaite ne pas avoir à flicker ses étudiants.
 
Par quel moyen je peux bloquer l'accès ??? Je ne vois pas comment faire!
 
 
 
 
 

Si j'utilise une autre GPO, sur quelle UO l'appliquée ??? J'ai mis l'héritage sur l'UO etudiants.
 
Si j'utilise une stratégie ordinateur sur mes postes:
 
Modèles d'administration\Composants Windows\Internet Explorer
 
En activant "paramètres machine du serveur proxy" est-ce que mon pb sera réglé ? Tout en sachant qu'il faut que je fasse sauter la config proxy des postes clients, est-ce que les étudiants n'auront plus accès à Internet en utilisant soit l'explorateur windows, soit Internet explorer soit la commande Executer ?
 
J'y suis presque. J'le sens.

firefox sur clé usb
 
 
et hop l'étudiant à accès à internet.....

Je répète ma question : tes postes clients sont sous quel OS ?

 
Clair
 
Je vote pour le proxy  
Pour les reseaux avec serveur windows y'a pas "ISA Server"   (un collegue à installer ca pour pouvoir limiter les users et attribuer des droits suivant les groupes sur le domaine, d'aprés lui l'avantage d'ISA c'est que ca marche directement avec les comptes d'AD, mais c'est tout )

ya d'autres proxy pour windows qui gère les comptes AD....
 
(par contre j'ai pas de nom en tête)
 

censornet (un distrib linux de proxy) recupere les comptes AD du serveur 2000 http://www.censornet.com/

 
via ldap

Blaclist55 mes clients sont des 2000Pro et qqs XP pro. Les étudiants ne peuvent pas brancher de clé USB.
 
ISA server ... vois pas c'que c'est. je chercherai plus tard.  
 
Le proxy n'est pas sous mon contrôle. Il dépend d'un organisme qui nous fournit l'accès Internet par fibre optique. J'ai déjà demandé à ce que j'en installe un mais ils ont refusé. Faut que je retente. C'est vrai qu'avec un proxy ça irait 'achement mieux. p'tits scripts pour connecter ou déconnecter une salle en fonction des addresse mac ça serait plus pratique.
 
 

ISA server si je me trompe pas c'est le FW de windows !

 
c'est un proxy

ils parlent bien de FW... http://www.clubic.com/telecharger- [...] -2000.html

J'ai une serveur et des clients à tester dans les prochains jours, je vais faire des essais.
A priori, je devrais y arriver en mixant les GPOs matérielles et d'avec les GPO Users

c'est un proxy-firewall  

 
Bah un proxy dans un sens c'est un firewall

'lut les gens
 
iSA server peut être configuré de trois façon :
 
Mode : Firewall
Mode : Proxy (améliore les perfs d'accès à internet)
Mode intégré : Firewall/proxy
 

tu n'as pas à gerer ldap, ton proxy via un menu va chercher tous les utilisateurs de l'AD

 
Si le proxy est installé sur la meme machine que ad

ben non par definition AD est sur win2000, censornet est une distribution linux

ah ok  
 
Mais comment censornet se connecte-t-il au AD

 
Ah non
 
va bloquer le port 4566 en UDP de LAN->WAN avec un proxy
 
Le proxy (WEB) gère le trafic HTTP et propose du cache et/ou du filtrage (basé sur les IP, les noms de domaine ou les URL des sites; le contenu des pages, leurs extensions, etc.)
 
Le firewall gère les communications entre deux interfaces réseaux en se basant sur les MAC adress, les IP, les ports, les protocoles, etc.

 
Tout cela est possible par les GPO
 
mais si le but est d'interdire pour des machines données et quel que soit l'utilisateur l'accès à Internet, l'utilisation d'un proxy sur la passerelle ou la définition de règles de routage/firewall sur la même passerelle est plus indiqué.