bloquer/autoriser internet: une methode

Le
vanzetti44
salut

bon voila, y'a pas pas mal de posts en ce moment sur ce sujet, cad
bloqué/autorisé l'accès au net sans logiciel spécifique type ISa, ou proxy
linux (genre squid gard, gratuit) .
je suis un peu ds la même situation que vous (adminstration), peu de moyen
donc bidouille. je vais donc faire profiter de mon expérience. elle ne
répond pas tt à fait à vos souhaits car il y a des impératifs de matériel,
ms c une piste et une astuce pour d'autres.

tout d'abord : les besoins.
- windows 2000/XP
- windows 2000/2003 server, ad, dns, dhcp (avec réseravtion d'IP)
- un routeur internet
- l'interface réseau doit s'appeler "LAN"
- des id réseau standard : pour l'ex :

- le server sera 192.168.0.1
- les clients: 192.168.0.2 à 192.168.0.200 (par ex)
- le routeur: 192.168.0.251

1) on renvoie par dhcp les ip au clients par réservation (il faut donc
relever les adresses mac). on peut ainsi donner des options différentes a
chaque machines. on renvoie, le dns primaire, le server wins , pas de
routeur ou une fausse ip (le mieux c rien)

2) par gpo, on atrribue aux utilisateurs "prof" un script de démarrage qui
va rajouter la passerelle : (cela suppose que le "prof" soit admin de la
machine, sinon on peut spécifier des options d'etendue différentes par
réservations)

@echo off
netsh interface ip set address "LAN" gateway2.168.0.251 gwmetric=1

on le nomme internet.bat par ex.

on créer un script inverse "no_internet.bat"
@echo off
netsh interface ip set address "LAN" gateway2.168.0.1 gwmetric=1

3) 1ere conclusion : un stagiaire (ou élev) qui se logue n'a pas internet,
le prof si (sur sa machine ou ttes les machines)

4) copiez ses deux scripts sur ttes les machines du réseau avec xcopy par ex
- trouver xcopy ds c:winntsystem32
- le copier ds netlogon ainsi que les deux scripts internet
- créer un script de démarrage qu'on place par gpo "ordi" :
echo COPIE DES SCRIPTS INTERNET
echo off
\serveuretlogonxcopy.exe \serveuretlogonscriptsinternet*.*
%systemroot%system32internet*.* (par ex)

nb: vous pouvez aussi renomer de facon completement incompréhensible les
scripts histoire de mieux cacher la manip (si vos stag ont acces au disque)

4) maintenant le prof va donner l'acces au web :
- télécharger psexec http://www.sysinternals.com/ntw2k/freeware/psexec.shtml
- le copier par ex dans le netlogon du server
- créer un fichier comme suit : (je suppose que le prof par ex de maths
dirige une classe avec des pc s'appellant MATHS01, MATHS02 etc)

ECHO ACTIVATION D'INTERNET SUR TOUTES LES MACHNES DU GROUPES MATHS
@echo off
\SERVERNETLOGONPSEXEC \MATHS01 -u administrateur -p password
c:winntsystem32internetinternet.bat

\SERVERNETLOGONPSEXEC \MATHS02 -u administrateur -p password
c:winntsystem32internetinternet.bat

etc..;
-u le user (ici l'administrateur de la machine , ou un compte equivalent)
-p le mdp

copier ce script ou en faire un raccourci disponible uniquement aux profs.
le prof lance le truc,
laisse le script s'executer et voili voilou , les utilisateurs peuvent
surfer.

5) créer un second script qui va executer l'inverse:
ECHO SUPPRESSION D'INTERNET SUR TOUTES LES MACHINES DU GROUPE MATHS
@echo off
\SERVERNETLOGONPSEXEC \MATHS01 -u administrateur -p password
c:winntsystem32interneto_internet.bat

\SERVERNETLOGONPSEXEC \MATHS02 -u administrateur -p password
c:winntsystem32interneto_internet.bat

6)voili voilou :
7) autres conditions:
- que les profs soient admin de leur machine et des machines du domaine si
ils ont à s'y logguer
- que les stagiaires ne soient pas admin "lol"
- un minimum de sécurité au niveau des gpo sur les interfaces réseaux
(impossible d'editer les param, de désactiver ou de renomer)
- si par ex un stagiaire venait à trouver le script, il peut tjs l'executer
, de tte facon il n'est pas admin donc rine ne se passe (je parle bien sur
du script internet.bat du début) ; par contre s'il trouve le script que doit
lancer le prof, bah la c pire, car il a le mot de passe admin !!!! donc bien
placé ca sur un emplacement uniquement accesible aux profs (et dire aux
profs de faire attention bien sur !!! lol)
- dernière condition : que le mdp admin des machines soient le meme , c plus
simple lol.
re derniere condition: avoir un minimu confiance dans les profs pour pas
qu'ils foutent la merde car ils ont le mdp admin lol

voili voilou, je pense que j'ai tous dis, moi j'ai fais ca et ca marche
nikel. je ferai un nv truc pour pouvoir donner l'acces au web par palages
horaires (c ds le même trip) .
si juste qq un avait une idée pour crypter les batch histoire que ce soit
totalement invisble ca le fait.
Renvoyer moi vos impressions.
--
voili voilou
vanzetti44
www.etincelle.cc
OUTILS,DOCS,TRUCS&ASTUCES POUR W2K/NT/XP,LES RESEAUX, PHOTOSHOP .
vanzetti44@hotmail.com (vive le spam ;)
!!Vous pouvez me contacter sur MSN Messenger!




une fois fini
In news:022b01c3b38c$27abf500$a401280a@phx.gbl,
Yael Cheenne <yael.cheenne@wanadoo.fr> a tapoté sur son joli clavier:
> Bonjour à toutes et à tous,
>
> Nous avons besoin, pour notre collège, de suivre les
> connexions Internet des élèves. Le réseau est configuré
> comme suit: les élèves sont authentifiés par l'ADS. Ils
> se connectent à Internet, par l'intermédiaire du PC du
> professeur de la salle (via un Proxy), mais le professeur
> souhaite pouvoir autoriser ou refuser la connexion d'un
> élève x ou y vers le serveur de connexion Internet.
>
> Question: peut-on récupérer, par script, les informations
> suivantes, au moment du lancemnt de IE (nom de
> l'ordinateur, &IP, nom de l'utilisateur) et comment
> autoriser ou refuser, par script (oui/non, on/off) la
> connexion internet par élève ?
>
> Si qq'un a une idée ou un morceau de script, il sera le
> bienvenu. Merci d'avance.
>
> Cordialement,
> Y. Chéenne.
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
GG [MVP]
Le #598837
6)voili voilou :
7) autres conditions:


Faire l'investissement de CCProxy et le tour est joué
sans se fatiguer, pour 69 Dolllars et quelques coups
de clic et c'est fini, pas la peine de s'enquiquiner et
en plus il fait beaucoup plus.
Il sait causer avec la sam, met des filtres individuels
et tout le reste.

--
Cordialement.
GG. [MVP]
http://gilisa.assysm.com
Le savoir vivre sur les news Microsoft
http://minilien.com/?0KfnHmgAde

vanzetti44
Le #598317
merci bcp pour l'info
c vrai c pas cher 69$,
je vais tester (en plus y'a le mail server)
ms des fois dans l'administration , dépenser un euro de trop... ms t'as
raison, ma soluce c de la bidouille
--
voili voilou

vanzetti44

http://www.etincelle.cc
http://news.etincelle.cc
OUTILS,DOCS,TRUCS&ASTUCES ET FORUM POUR W2K/NT/XP,LES RESEAUX,

Contact par msn messenger sur

In ,
GG [MVP]
6)voili voilou :
7) autres conditions:


Faire l'investissement de CCProxy et le tour est joué
sans se fatiguer, pour 69 Dolllars et quelques coups
de clic et c'est fini, pas la peine de s'enquiquiner et
en plus il fait beaucoup plus.
Il sait causer avec la sam, met des filtres individuels
et tout le reste.



vanzetti44
Le #598010
In news:,
GG [MVP]
t'as raison, ma soluce c de la bidouille


Surtout avec ce que tu racontes :

derniere condition: avoir un minimu confiance dans les profs pour pas
qu'ils foutent la merde car ils ont le mdp admin


:-)


c pour ca que j'aurai bien voulu savoir si l'on peut crypter le contenu du
batch...
apres tu sais, jsuis dans une position où si ils peuvent pas faire leurs
trucs et installer un prog bah ils sont pas content et arretent pas de te
faire chier, donc obliger de les mettre admin de la machine (pas du domaine
bien sur ;) ... car malheureusement j'ai pas encore le "statut" d'admin
réseau et leurs imposer qoique ce soit c pas facile...

--
voili voilou
vanzetti44
www.etincelle.cc
OUTILS,DOCS,TRUCS&ASTUCES POUR W2K/NT/XP,LES RESEAUX, PHOTOSHOP ....
(vive le spam ;)
!!Vous pouvez me contacter sur MSN Messenger!


Poster une réponse
Anonyme