Någon som har någon bra idé på hur man förhindrar att folk kan gå in och ändra proxyserver ??
Vi har ett antal datorer ståendes i vår verkstad och de klarar inte riktigt av att inte surfa på arbetstid. För att komma åt internet måste man genom en proxyserver.

Den inställningen vill jag ta bort, är det möjligt ??

Mvh
Mattias

Helt beroende på vad ni har för Proxyserver, så ställer ni den begränsningen i själva Proxyservern. Där brukar man kunna säga att den-och-den användaren eller den-och-den datorn bara får åtkomst till internet under dessa-och-dessa tidpunkterna. Det är därför man införskaffar en Proxyserver, och inte för att man ska plocka bort/lägga till inställingarna på klienten.

Vi pratar hela ABB-konsernen med över 14000 datorer i Sverige, så jag tror inte att det är aktuellt.

Vi måste kunna ta bort detta alternativ på våra burkar.

Ett sätt är att ändra rättigheterna på IEXPLORE.EXE till bara ADMIN har rättigheter, men vi har ett Intranät som personalen skall ha tillgång till.


/Mattias

> <b>Vi pratar hela ABB-konsernen med över 14000 datorer i Sverige, så jag tror inte att det är aktuellt.</b>

Varför skulle det inte vara aktuellt? Ni har en klient som det inte får surfas ut ifrån externt under vissa tider på dygnet. Det är ett klockrent exempel på vad man använder just en Proxyserver till. Jag menar ju alltså inte att man ska spärra hela ABB, utan bara just den aktuella maskinen, alternativt aktuella användargruppen, under vissa tider på dygnet.

Jag jobbar själv på ett företag med ~15.000 användare i Sverige och ~370.000 användare i världen. Någonstans antar jag att ni har en helpdesk/supportcentra som ni ska eskalera den här typen av frågeställingar till. Att hålla på och ändra Proxyinställingar, eller ännu värre som du föreslår, att ändra rättigheter på iexplorer.exe är en betydligt sämre väg att gå!

Jo, jag vet att den är sämre, mycket sämre men svaret jag får är att på helpdesk kan de inte administrera detta, jag skall dock på nästa möte ta upp frågan igen.

Men finns det verkligen inget sätt att låsa klienterna ??

Det handlar inte bara om de som inte skall få tillgång, det handlar lika mycket om de som inte kan låta bli och ändra, samt att de som har bärbara datorer väljer att koppla upp sig på internet via ADSL hemma. Då är datorerna exponerade mot virus som sedan följer med in innanför vår FW...........

/Mattias

> <b>Men finns det verkligen inget sätt att låsa klienterna ??</b>

Jodå, det går alldeles utmärkt. Låt bli att låta användarna vara lokala admin! Naturligtvis beroende på vilket OS ni kör på klienterna. Förhoppningsvis så ligger ni på WinNT4/2000/XP och har inte några Win95/98/ME.

> <b>Det handlar inte bara om de som inte skall få tillgång, det handlar lika mycket om de som inte kan låta bli och ändra, samt att de som har bärbara datorer väljer att koppla upp sig på internet via ADSL hemma. Då är datorerna exponerade mot virus som sedan följer med in innanför vår FW...........</b>

Det verkar vara ABB som har gigantiska problem med hur de ska 1) skriva en IT-ploicy, och 2) efterleva sin IT-policy. Sådana saker som du beskriver ska ju inte varje kontor själva behöva brottas med. Sådant ska styras från centralt håll! Låter helt klart som att du behöver sätta ihop ett problemdokument och sean ta upp detta på något möte med er site manager.

Du kan sette proxy settings via group policies i Win2k och IEAK policies for NT4. Om du setter inn en proxy server adresse som ikke finnes, så stopper du effektivt all internet surfing.

Rikard: Det finns naturligtvis en uttalad policy, men vad hjälper det ??
Anarki råder som vanligt och vad skall man göra, sparka folk på smalbenet ?!

Gunnar, jag är inte så hemma på NT4 som det här avser, kan du ge mig lite mer info ??

/Mattias

> <b>Du kan sette proxy settings via group policies i Win2k och IEAK policies for NT4.</b>

Visst kan man sätta Policies i både WinNT4 och Win2000, men frågan handlade inte om att alltid blockera användare/datorn från Internet, utan från att göra det under arbetstid!

Som jag förstod ursprungsfrågan så var det tillåtet med Internetaccess efter arbetstid!

> <b>Det finns naturligtvis en uttalad policy, men vad hjälper det ??</b>

Nu vet jag ingenting alls om hur ABB fungerar, men hos de kunder så har kunden satt en IT Policy för att den ska följas. Och gör den inte det så har teknikerna något att luta sig mot när de utför förändringar eller när de frågare efter pengar för att kunna följa IT Policyn.

> <b>Anarki råder som vanligt och vad skall man göra, sparka folk på smalbenet ?!</b>

Jag vet ju hur det går till här, kommer en deskside ut till en maskin som någon har lyckats installera något som inte är godkänt så är det omformatering av datorn. Om en dator har fel OS eller fel namn eller fel användare som local admin så kickas den ut ur Active Directory. Det handlar bara om att ha någon form av policy i ryggen från högre ort och sedan leva upp till den! Gillar inte användarna det, fine, stick fram IT Policyn som de själva har skrivit under framför dem!

Nej då, frågan gällde inte att kunna surfa efter arbetstid, det är inte tillåtet att surfa alls !!

Så Gunnar har rätt, men jag skulle gärna vilja ha lite mer info från honom.


/Mattias

> <b>Nej då, frågan gällde inte att kunna surfa efter arbetstid, det är inte tillåtet att surfa alls !!</b>

Då föreslår jag att du skrev er bättre fråga tills nästa gång. Du skrev i ditt första inlägg "<b>Vi har ett antal datorer ståendes i vår verkstad och de klarar inte riktigt av att inte surfa på arbetstid</b>". Det uppfattade jag som att det handlade om att det var på arbetstid som problemet gällde!

Nåja, till den förändrade frågan. Policies sätts normalt på servernivå. Har du rättigheter att sätta Policies på PDC/BDC i ert nät? Med andra ord, är du Domain Admin eller Server Admin på PDC/BDC i den domainen som aktuell dator är medlem i? Har du även rättigheter från er IT-avdelning att uföra sådana ändringar i ert nätverk?

Man kan också sätta Policies direkt på den lokala maskinen. Gäller det maskinen ifråga, eller gäller det användarna ifråga? Man kan alltså sätta en Policy på antingen en dator eller en användare eller en grupp med användare. Så frågan är om ingen alls ska kunna surfa från aktuell dator, eller om det bara är vissa användare som inte ska kunna surfa från datorn?

Det gäller maskinerna i fråga, och vad det gäller tydligheten angående arbetstid så arbetas det 3-skift ( = 24/h per dygn ) på dessa avdelningar, så jag tror inte att jag skrev otydligt utan snarare att du tolkade galet. Nej, vi har inte rättigheter att ändra i domäner och grupper.

Jag vet inte hur jag skall skriva för att ni ska förstå och hålla tråden rätt.

Jag vill att man inte skall kunna ändra proxy på den LOKALA MASKINEN punkt slut.


/Mattias

Har du hört uttrycket "Som man ropar får man svar"?

Anledningen till att jag ställer frågor är inte för att det är kul att se hur du svarar, utan för att man behöver informationen för att ge ett korrekt svar! Men nu struntar vi i korrektheten och ger dig <b>ett</b> rätt svar!

Här är regnyckeln för att göra om inställingen till per-machine istället för per-user:

CLASS HKEY_LOCAL_MACHINE
KEYNAME "Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings"
VALUENAME ProxySettingsPerUser
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
UserProxy="Make proxy settings per-machine (rather than per-user)"

Se sedan till att konfigurera proxyinställingarna som du vill ha dem och se där efter till att användarna inte är lokal admin!

det är rätt Rikard, frågan kanske var lite luddig men ibland är det svårt att få till en korrekt beskrivning, hur som helst, jag är inte kung på registereditering så jag behöver lite mer hjälp.

Jag tolkar ditt svar så här:

Skapa nytt Dword och döp till "ProxySettingsPerUser"

Sedan ändrar jag värdet mellan 0 och 1 beroende på vad jag vill ha för skydd, eller ??

Vad jag inte förstår är

UserProxy="Make proxy settings per-machine (rather than per-user)"

Jag kan vara helt fel ute men jag vore tacksam om du i så fall kunde välta mig tillrätta.


/Mattias

Detta är ännu inte löst, någon mer som har tankar och funderingar ??


/Mattias

Fortfarande ingen ???

RikardD, jag har mailat dig privat oxå utan svar, har vi personliga motsättningar ??


/Mattias

> <b>RikardD, jag har mailat dig privat oxå utan svar, har vi personliga motsättningar ??</b>

Jag anser inte att min privata mail är någon form av support!

Du har ett problem med ditt nät på ditt arbete! Vänd dig till din IT Support! Har du fortfarande problem, vänd dig till en konsultfirma, eller till Microsoft! Jag har gett dig ett korrekt svar på en lösning! Jag har uppfattat en dålig ton, och därför har jag inte med diskussionen att göra längre!

Det är OK RikardD, du behöver inte svara mer om jag trampat dig på tårna, någon annan som vill förklara för mig vad RikardD menar ??

http://www.winguides.com/registry/display.php/1147/
Kanske kan hjälpa dig.

Tack för hjälpen, precis vad jag har letat efter !!!

/Mattias