Blocco siti da Windows server 2003 a client XP

[lucifaro]

Salve ragazzi ho un problema, a lavoro mi hanno chiesto di bloccare l'accesso a molti siti sopratutto chat e community.

Allora io ho tentato di farlo con l'active directory aggiungendo la lista sui siti con restrizioni, ma ha quanto ho visto non funziona molto bene questo metodo, anche perc'è alcuni siti non riesce a bloccarli e comunque in quelli bloccati si può navigare, ma non registrarsi e cose simili.

Mi era venuto in mente di usare il file Host di windows per evitare proprio di farli accedere, ma qui sorge il problema, in questo modo dovrei farmi il giro di 100 pc e cambiare tale file cosa che non mi va tanto di fare.

Ora volevo sapere se c'è un modo per copiare il file host su tutti i pc direttamente dal server.

Grazie

Ciao

[jstef]

Ma l'accesso a internet come lo fornite? Immagino usiate un web proxy...?
Probabilmente una versione di ISA, se è così leggiti la documentazione sulle site & content rules e le varie policies e se ti servono info più specifiche posta in questa sezione .

[lucifaro]

Grazie per la risposta,
non usiamo isa ne proxi i server forniscono solo il DHCP.

[jstef]

Quote:

Originariamente inviato da lucifaro

i server forniscono solo il DHCP.

E il DNS... o hai impostato sui client i DNS di telecom/albacom per uscire direttamente su internet?
Comunque sui client potresti eseguire uno script usando le group policies di AD, che magari mappi una share di rete al logon e copi il file hosts modificato... senza un proxy/software di web filtering o altro sw dedicato in questo momento non mi vengono in mente molte soluzioni... Anche perché basta poi digitare http://indirizzoIPdelserver e lo raggiungi lo stesso. Provo a pensarci

[lucifaro]

Si il server fornisce anche il DNS, ma quello del router il server stesso non fa da DNS.

Scusami ma sono veramente newbo su queste cose mi hanno messo a gestire sti server senza neanche fare un corso.

Come faccio a eseguire uno script usando le group policies di AD, che magari mappi una share di rete al logon e copi il file hosts modificato?

Grazie tante.

[jstef]

Quote:

Originariamente inviato da lucifaro

Scusami ma sono veramente newbo su queste cose mi hanno messo a gestire sti server senza neanche fare un corso.

E sei da solo?

Guarda, se non hai fatto un corso forse la cosa migliore è che inizi a documentarti per conto tuo: compra un buon libro o usa il technet di microsoft (lo trovi sul web).

Ti dico a grandi linee cosa potresti fare: assegnare un logon script a tutti gli utenti (o a quelli che vuoi tu) in modo che ogni volta che accedono al dominio eseguano uno script, un file batch che copia il tuo file hosts dal domain controller al pc locale.

Assumo che sai come modificare il file hosts: assegni l'indirizzo 127.0.0.1 ai siti web da ''bloccare'' es. www.sitoporno.com.
MVPS.org mantiene un file già compliato che esclude un sacco di siti di spyware adware eccetera che puoi provare, o solo vedere com'è fatto.

Il tuo script potrebbe essere una cosa tipo
XCOPY /Y \\nomeserver\nomeshare\hosts %systemroot%\system32\drivers\etc

alla condivisione devono avere accesso tutti gli utenti, lo script lo metti sul domain controller, su 2003 se non sbaglio in
c:\winnt\sysvol\sysvol\scripts oppure
c:\winnt\sysvol\sysvol\dominio\scripts...

Magari prova ad assegnarlo prima ad un paio di utenti e vedi se funge:
negli strumenti di amministrazione apri Active directory users and computer, apri Users, col tasto destro vai nelle proprietà dell'utente e nel tab Profilo scrivi il nome del tuo file batch, es. login.bat

Credo che così funzioni, è un bel po' che non faccio più queste cose personalmente .

Se funziona, per assegnarlo a tutti devi usare le policy di dominio, a memoria non mi ricordo, devo guardare la documentazione o vedere su un server 2003. Inizia a vedere se riesci ad arrivare fin qui .

EDIT.
Ricordati che il trucco del file hosts non ferma l'utente sgamato, i siti sono comunque accessibili, è appunto un trucchetto...

[lucifaro]

Quote:

E sei da solo?

Si solo come un cane, l'unico supporto che ho è un ingegnere che sta a Parma e che comunque non conosce queste cose, diciamo che sa poco di server.

Riguardo al personale sono tutte ragazze ed io l'unico tecnico di tutto il coll center, a parte 2 ragazzi che comunque non devo bloccare perchè a loro il file host serve per lavorare su alcuni portali e comunque sono dalla mia parte perciò non ho problemi.

Grazie tante, domani provo cosi ti so dire se funge.

[jstef]

Quote:

Originariamente inviato da lucifaro

Riguardo al personale sono tutte ragazze

Beato te .

Quote:

2 ragazzi che comunque non devo bloccare perchè a loro il file host serve per lavorare su alcuni portali e comunque sono dalla mia parte perciò non ho problemi.

Se sono amministratori locali del loro pc possono tranquillamente rimettere il file hosts come stava

[lucifaro]

No non sono amministratori locali, però gli ho lasciato i permessi per modificare il file host quando gli serve.

Sai non pensare che sia tanto bello lavorare con solo donne, all'inizio pensavo pure io che mi sarei divertito, ma dopo un pò di tempo ti vedono come un fratello e non ci fai più niente, che palle.

[jstef]

Quote:

Originariamente inviato da lucifaro

No non sono amministratori locali, però gli ho lasciato i permessi per modificare il file host quando gli serve.

Sai non pensare che sia tanto bello lavorare con solo donne, all'inizio pensavo pure io che mi sarei divertito, ma dopo un pò di tempo ti vedono come un fratello e non ci fai più niente, che palle.

Ahahaha

Ecco qua, per assegnare il logon script a tutti gli utenti del dominio:

1. Click Start, point to Administrative Tools, and select Active Directory Users and Computers.
2. Right click your domain and select Properties.
3. Select Open from the Group Policy tab.
4. Double click the Default Domain Policy.
5. Right click the Default Domain Policy and select Edit.
6. Expand User Configuration | Windows Settings | Scripts (Logon/Logoff).
7. Double click Logon.
8. Click the Add button.
9. Type in the name of the script and Click OK.
10. Click OK.

[lucifaro]

Ciao, sto provando da + di 1 ora, ma senza riuscire a copiare quel maledetto file, vedo che sul pc di prova all'accesso mi dice molto velocemente esecuzione script ma quando vado a controllare nella cartella del file hosts non ha apportato modifiche.

cosa può essere?

Grazie

[jstef]

Quote:

Originariamente inviato da lucifaro

Ciao, sto provando da + di 1 ora, ma senza riuscire a copiare quel maledetto file, vedo che sul pc di prova all'accesso mi dice molto velocemente esecuzione script ma quando vado a controllare nella cartella del file hosts non ha apportato modifiche.

cosa può essere?

Grazie

Prova a aprire un prompt dei comandi su quel pc e eseguire a mano lo script indicando tutto il percorso così vedi se ti dà errori

[jstef]

Quote:

Originariamente inviato da jstef

1. Click Start, point to Administrative Tools, and select Active Directory Users and Computers.
2. Right click your domain and select Properties.
3. Select Open from the Group Policy tab.
4. Double click the Default Domain Policy.
5. Right click the Default Domain Policy and select Edit.
6. Expand User Configuration | Windows Settings | Scripts (Logon/Logoff).
7. Double click Logon.
8. Click the Add button.
9. Type in the name of the script and Click OK.
10. Click OK.

Quote:

Originariamente inviato da lucifaro

Ciao, sto provando da + di 1 ora, ma senza riuscire a copiare quel maledetto file, vedo che sul pc di prova all'accesso mi dice molto velocemente esecuzione script ma quando vado a controllare nella cartella del file hosts non ha apportato modifiche.

cosa può essere?

Grazie

Lo script nel modo che ti ho incollato sopra viene eseguito con le credenziali dell'utente, prova a farlo eseguire come policy di macchina all'avvio e non di utente al logon, in questo modo viene eseguito nel contesto di local system.

Al punto 6 sostituisci User configuration con Computer configuration, al posto di logon/logoff troverai startup/shutdown.
La differenza è che così viene eseguito ogni volta che viene accesa la macchina a presecindere dall'utente che la usa, mentre nell'altro modo viene eseguito ogni volta che l'utente si logga, su qualunque macchina, ma per sostituire il file hosts l'utente dovrebbe avere i diritti amministrativi, che non ha...

[lucifaro]

Allora ho provato a fare:

cmd

\\nomedominio\SYSVOL\dominio\scripts\logon.bat

e me lo copia.

Ora mi suicido in sala server.


Senti ma nel profilo utente va messo solo il nome dello script o pure il percorso che ho usato sopra?

comunque ho provato e non va in nessuno dei 2 casi.

[lucifaro]

OK funge con il metodo che mi hai detto cambiando il punto 6.

Evidentemente non gli da accesso alla copia mettendolo sugli utenti.


Grazie tante sei un genio.

Spero che continui a funzionare.

[e-gamblingcity.com]

Ci tenevo a spendere 2 parole di ringraziamento. Avevo anch'io la necessità di bloccare alcuni siti in ditta in modo semplice e mi sembra una scelta economica e semplice.

Ho preparato il tutto e domani testerò.

Grazie mille

[lucifaro]

Io ancora non riesco a capire una cosa come mai su alcuni pc alcuni siti non vengono bloccati e su altri invece si eppure l'host è corretto. Mistero di Windzozz

[e-gamblingcity.com]

Mi da questo problema:

1) stranamente non mi copia il file sotto la cartella:
mi dice che Cmd.exe non supporta i nomi UNC

se lo disabilito come consigliato qui:
http://support.microsoft.com/kb/156276/it

non mi da l'errore ma non me lo copia comunque.

Forse sbaglio qualcosa:
creato file siti.bat con il comando
XCOPY /Y \\nomeserver\nomeshare\hosts %systemroot%\system32\drivers\etc

sostutento ciò che fa al caso.

[lucifaro]

Quello che hai scritto nel file siti.bat è giusto.

A me ha dato quel problema all'inizio ma dopo un pò che ho tenuto la macchina spenta, ha fatto la copia.

Hai seguito tutti i punti elencati?

Come avrai letto sopra a me non funzionava se lo mettevo sugli utenti.

[e-gamblingcity.com]

forse devo riavviare il server per queste cose...faccio una prova oggi, poi ti dico.

Grazie

P.S.: la cosa strana é che ho provato a farlo partire anche su un macchina e non me lo copiava cmq. Copiato .bat sul client e l'ho fatto partire in manuale, nessun errore ma il file sempre lo stesso.