Ограничить доступ к файловой шаре для региональных пользователей

Nerian · Отправлено: **15:27, 26-06-2008** | #11

Всего то делов

)) Купить 20 серверов для 20 регионов, и наверное ещё нанять человека который бы их поддерживал. Супер решиние

Спасибо. Как я сам к нему не пришёл? )

Gremlin19 · Отправлено: **17:46, 26-06-2008** | #12

http://waynes-world-it.blogspot.com/...red-group.html
как думаешь?

Dirk Diggler · Отправлено: **19:03, 26-06-2008** | #13

Цитата Nerian:

192.168.1.2 - dc01 (контролер1, он же файловая шара)
192.168.1.3 - dc02 (контролер2, резервный)
192.168.1.4 - ts01 (терминальный сервер)

У пользователей в москве - десктопы, которые полноценно используют файловую шару на прямую
У пользователей в питербурке и екатеренбурге терминальные клиенты через которые они используют файловую шару
а так же... есть несколько десктопов, к примеру для локального сканирования.
Задача: запретить региональным пользователям с десктопов обрашаться к файловой шаре на dc01, при этом оставив возможность использовать GPO (sysvol, netlogon)
Вот. В краце топология. »

Навскидку не вспомню, но - закрываем 192.168.1.2 для регионов для любый IP-пакетов, кроме DNS(если он используется в кач-ве DNS).
Далее - либо клиенты автоматически будут использовать второй контроллер, либо для этого понадобятся небольшие пляски, но ничего сложного емнип. Возьмите пару мануалов по AD, например Зубанова, и в путь.

amel27 · Отправлено: **13:13, 27-06-2008** | #14

Цитата Nerian:

Купить 20 серверов для 20 регионов »

достаточно шару убрать с DC на файл-сервер

до кучи еще один извращенческий вариант

: создать специальную учетку с доступом только к этой шаре, создать ГПО с WMI-фильтрацией (чтобы определить с какого места вход), создать батник планирующий/удаляющий шару из под этой учетки. Результат: диск спланирован только у терминалов, у десктопов его нет. Один минус - пароль придется хранить почти открыто, но на сервере можно запустить скриптец, который будет его менять хоть каждый час, главное синхронно отражать это в батнике.

Nerian · Отправлено: **16:43, 27-06-2008** | #15

Всем спасибо за дискусию. Пока решили остановиться на следующем варианте:

1. Фаерволом ни чего не блокируется
2. В скрипте который подключает диск, определяется из какой подсети выполняется подключение, если из региона - диск не подключается
3. Так же в локальных политиках десктоп регионах запрешена сеть на обычном пользовательском уровне или опять же в скрипте в зависимости от подсети:

"NoNetConnectDisconnect"=dword:00000001
"NoEntireNetwork"=dword:00000001
"NoWorkgroupContents"=dword:00000001
"NoNetHood"=dword:00000001

Если будут проблемы тогда ещё NoRun добавится, и тогда воопще нельзя будет обычному человеку зайти на сеть даже зная UNC путь...

Ну и + оптимизация всех скриптов чтоб они не качали/ставили ни чего лишнего для регионов, или если это делали - делали один раз.

Вот.

Если это не прокатит будут расматриваться варианты с созданием сайта, если и это не прокатит - или выделенный файловый сервер или же в виртуальной машине ещё один контролер для нужд регионов...

Такие вот дела. А ведь на самом деле - задачка то банальная, а решение приходится из пальца высасывать