Re:scriting: bloquer/autoriser internet : une méthode

Le
vanzetti44
salut

bon voila, y'a pas pas mal de posts en ce moment sur ce sujet, cad
bloqué/autorisé l'accès au net sans logiciel spécifique type ISa, ou proxy
linux (genre squid gard, gratuit) .
je suis un peu ds la même situation que vous (adminstration), peu de moyen
donc bidouille. je vais donc faire profiter de mon expérience. elle ne
répond pas tt à fait à vos souhaits car il y a des impératifs de matériel,
ms c une piste et une astuce pour d'autres.

tout d'abord : les besoins.
- windows 2000/XP
- windows 2000/2003 server, ad, dns, dhcp (avec réseravtion d'IP)
- un routeur internet
- l'interface réseau doit s'appeler "LAN"
- des id réseau standard : pour l'ex :

- le server sera 192.168.0.1
- les clients: 192.168.0.2 à 192.168.0.200 (par ex)
- le routeur: 192.168.0.251

1) on renvoie par dhcp les ip au clients par réservation (il faut donc
relever une fausse ip (le mieux c rien)

2) par gpo, on atrribue aux utilisateurs "prof" un script de démarrage qui
va rajouter la passerelle : (cela suppose que le "prof" soit admin de la
machine, sinon on peut spécifier des options d'etendue différentes par
réservations)

@echo off
netsh interface ip set address "LAN" gateway2.168.0.251 gwmetric=1

on le nomme internet.bat par ex.

on créer un script inverse "no_internet.bat"
@echo off
netsh interface ip set address "LAN" gateway2.168.0.1 gwmetric=1

3) 1ere conclusion : un stagiaire (ou élev) qui se logue n'a pas internet,
le prof si (sur sa machine ou ttes les machines)

4) copiez ses deux scripts sur ttes les machines du réseau avec xcopy par ex
- trouver xcopy ds c:winntsystem32
- le copier ds netlogon ainsi que les deux scripts internet
- créer un script de démarrage qu'on place par gpo "ordi" :
echo COPIE DES SCRIPTS INTERNET
echo off
\serveuretlogonxcopy.exe \serveuretlogonscriptsinternet*.*
%systemroot%system32internet*.* (par ex)

nb: vous pouvez aussi renomer de facon completement incompréhensible les
scripts histoire de mieux cacher la manip (si vos stag ont acces au disque)

4) maintenant le prof va donner l'acces au web :
- télécharger psexec http://www.sysinternals.com/ntw2k/freeware/psexec.shtml
- le copier par ex dans le netlogon du server
- créer un fichier comme suit : (je suppose que le prof par ex de maths
dirige une classe avec des pc s'appellant MATHS01, MATHS02 etc)

ECHO ACTIVATION D'INTERNET SUR TOUTES LES MACHNES DU GROUPES MATHS
@echo off
\SERVERNETLOGONPSEXEC \MATHS01 -u administrateur -p password
c:winntsystem32internetinternet.bat

\SERVERNETLOGONPSEXEC \MATHS02 -u administrateur -p password
c:winntsystem32internetinternet.bat

etc..;
-u le user (ici l'administrateur de la machine , ou un compte equivalent)
-p le mdp

copier ce script ou en faire un raccourci disponible uniquement aux profs.
le prof lance le truc,
laisse le script s'executer et voili voilou , les utilisateurs peuvent
surfer.

5) créer un second script qui va executer l'inverse:
ECHO SUPPRESSION D'INTERNET SUR TOUTES LES MACHINES DU GROUPE MATHS
@echo off
\SERVERNETLOGONPSEXEC \MATHS01 -u administrateur -p password
c:winntsystem32interneto_internet.bat

\SERVERNETLOGONPSEXEC \MATHS02 -u administrateur -p password
c:winntsystem32interneto_internet.bat

6)voili voilou :
7) autres conditions:
- que les profs soient admin de leur machine et des machines du domaine si
ils ont à s'y logguer
- que les stagiaires ne soient pas admin "lol"
- un minimum de sécurité au niveau des gpo sur les interfaces réseaux
(impossible d'editer les param, de désactiver ou de renomer)
- si par ex un stagiaire venait à trouver le script, il peut tjs l'executer
, de tte facon il n'est pas admin donc rine ne se passe (je parle bien sur
du script internet.bat du début) ; par contre s'il trouve le script que doit
lancer le prof, bah la c pire, car il a le mot de passe admin !!!! donc bien
placé ca sur un emplacement uniquement accesible aux profs (et dire aux
profs de faire attention bien sur !!! lol)
- dernière condition : que le mdp admin des machines soient le meme , c plus
simple lol.
re derniere condition: avoir un minimu confiance dans les profs pour pas
qu'ils foutent la merde car ils ont le mdp admin lol

voili voilou, je pense que j'ai tous dis, moi j'ai fais ca et ca marche
nikel. je ferai un nv truc pour pouvoir donner l'acces au web par palages
horaires (c ds le même trip) .
si juste qq un avait une idée pour crypter les batch histoire que ce soit
totalement invisble ca le fait.
Renvoyer moi vos impressions.
--
voili voilou
vanzetti44
www.etincelle.ccles adresses mac). on peut ainsi donner des options
différentes a chaque machines. on renvoie, le dns primaire, le server wins ,
pas de routeur ou
OUTILS,DOCS,TRUCS&ASTUCES POUR W2K/NT/XP,LES RESEAUX, PHOTOSHOP .
vanzetti44@hotmail.com (vive le spam ;)
!!Vous pouvez me contacter sur MSN Messenger!

In news:022b01c3b38c$27abf500$a401280a@phx.gbl,
Yael Cheenne <yael.cheenne@wanadoo.fr> a tapoté sur son joli clavier:
> Bonjour à toutes et à tous,
>
> Nous avons besoin, pour notre collège, de suivre les
> connexions Internet des élèves. Le réseau est configuré
> comme suit: les élèves sont authentifiés par l'ADS. Ils
> se connectent à Internet, par l'intermédiaire du PC du
> professeur de la salle (via un Proxy), mais le professeur
> souhaite pouvoir autoriser ou refuser la connexion d'un
> élève x ou y vers le serveur de connexion Internet.
>
> Question: peut-on récupérer, par script, les informations
> suivantes, au moment du lancemnt de IE (nom de
> l'ordinateur, &IP, nom de l'utilisateur) et comment
> autoriser ou refuser, par script (oui/non, on/off) la
> connexion internet par élève ?
>
> Si qq'un a une idée ou un morceau de script, il sera le
> bienvenu. Merci d'avance.
>
> Cordialement,
> Y. Chéenne.
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
vanzetti44
Le #663962
In news:%,
vanzetti44

1) on renvoie par dhcp les ip au clients par réservation (il faut donc
relever une fausse ip (le mieux c rien)

oups ;)


"il faut relever les adresses mac"

jsais pas ce ki c passé ???
--
voili voilou
vanzetti44
www.etincelle.cc
OUTILS,DOCS,TRUCS&ASTUCES POUR W2K/NT/XP,LES RESEAUX, PHOTOSHOP ....
(vive le spam ;)
!!Vous pouvez me contacter sur MSN Messenger!

Poster une réponse
Anonyme