Запретить доступ одному из юзеров
Модератор: Модераторы
Сообщений: 30
• Страница 1 из 3 • 1, 2, 3
Wall_ » 19 ноя 2005, 10:41
Здраствуйте!
Домен на Win2003 EE, AD. Сервер является еще сервером терминалов на который заходят и юзеры из вне и юзеры из локалки. Как сделать так, чтобы выбранные юзеры могли заходить только из локалки и не могли заходит из интернета? Или можно так: из интернета доступ дать только выбранным юзерам.
Проблема в том, что если я заблокирую доступ из вне к серверу терминалов, то никто не сможет из вне попасть на сервер, а если заблокирую конкретного юзера в Terminal Config., то он и из локалки не сможет попасть на сервер.
Вариант с поднятием VPN пока не рассматривается.
Спасибо.
Домен на Win2003 EE, AD. Сервер является еще сервером терминалов на который заходят и юзеры из вне и юзеры из локалки. Как сделать так, чтобы выбранные юзеры могли заходить только из локалки и не могли заходит из интернета? Или можно так: из интернета доступ дать только выбранным юзерам.
Проблема в том, что если я заблокирую доступ из вне к серверу терминалов, то никто не сможет из вне попасть на сервер, а если заблокирую конкретного юзера в Terminal Config., то он и из локалки не сможет попасть на сервер.
Вариант с поднятием VPN пока не рассматривается.
Спасибо.
Wall_ » 21 ноя 2005, 09:51
| Цитата |
| на свойствах user есть опция
[/quote] Какая?
Очевидно, имелась в виду кнопка Log On To... на вкладке Account в свойствах юзера. Там можешь определить, с какой машинки юзер под этим аккаунтом входить может. Пишешь там машинку из локалки и все. Другой вариант - поставь какой-нить программный файрвол типа Аутпоста и настрой там соответствующие правила.
Спасибо попробую. Firewall пока аппаратный, так что через него вроде не получиться.
А какого типа должно быть правило? сорри за ламерность, просто я прикинул как-то не получается. Объясните плз на уровне логики: "разрешить доступ так-то, запретить так-то и т.д." Если не трудно...
Ну если честно именно с Аутпостом я не работал (советую, потому что его хвалят как простой, но мощный), но принципы файрволов примерно одинаковые, так что правила строятся по принципу - куда, откуда, кто и по какому порту может пройти. Да, и правила могут на разрешения быть, а могут на запрет. В идеале ты этому юзеру разрешаешь ходить на ИП терминальника по порту 3389 (т.е. MS RDP) только из локалки.
И еще - какой аппаратный файрвол стоит? Почему это не получится? Там все то же самое можно настропалить без проблем - единственно, надо знать систему команд, которые позволяют это реализовать. Cisco PIX, если о ней речь - рулезная штука. Да и другие железяки типа ZyWALL от Zyxel тоже это умеют.
Не нашел такую вкладку. Там ессть кнопка "вход на..." - дык она вроде это означает. В любом случае, я туда забил компы локалки, но этот юзер все равно может залогониться удаленно.
Сообщений: 30
• Страница 1 из 3 • 1, 2, 3
Вернуться в Сетевые операционные системы Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2 |