Терминальный сервер. Права по IP.
 

Windows server 2003
Terminal Server
20-50 пользователей.
есть посчти все IP адреса\сети, с которых входят пользователи.
Можно ли реализовать следующее:
если пользователи входят с такого-то IP адреса\сети, то они могут определённые права (к примеру могут закачивать на сервер файлы через подключённый диск).
если пользователи входят с IP адреса\сети отличающегося от "разрешённых", то только права read only.

к примеру, если пользователь передал пароль или его сломали, то зайдя с другого IP адреса\сети, он ничего не смог сделать, только читать.
Спасибо.

только конкретно правами пользователя. если пользователь имеет право значит закачивает инче нет.

применяй политику паролей(сложность, чтоб не поломали) и административные наказания за передачу.)

это само собой, а чтоб наверняка... взломали, но read only.

Я бы попробавал эту задачу реализовать на vbs.

А если открыть свойства пользователя, закладку "Учетная запись", нажать кнопку "Вход на" и задать имя компьютера, то этот юзер сможет войти в сеть только с этого компьютера.

Второй способ - поставить firewall, в котором ограничить по ip (я так линукс-пользователей контроллирую).

После такой двойной защиты будет достигнуто желаемое.

Но! Можно адрес поменять, компьютер переименовать...

если поставить галку - то это будет разрешение куда заходить, а не откуда.
этого не могу позволить, начальство ездит по командировкам и IP меняются постоянно.

да про первое ошибся, полностью согласен

насчет второго - можно же выборочно - некоему пользователю HugoBoss дать права с любого IP

ну мона права порезать.....чтобы не смогли...через политики домена или локаольно, если домена нету....

всё правильно. пользователь сможет войти только на указаный ПК, а значит передавать свой пароль не имеет смысла. т.к. войти с другой машины не представляеться возможным. остается ждать пока пользователь уступит место. этот вариант поможет тебе ограничить доступ но проблема решена не полностью.

это почему? один зашёл из одного города "на один комп" и друой пользователь зашёл из другого городв тоже "на этот комп".
только что разрешил себе вход на "один комп", зашёл на него с рабочего и удалённого компа.

потому что там мы прописали ИП. а в дной сети двух машин с одинаковыми ИП не должно быть! учти маршрутизацию а точнее возникшый из-за этого конфликт.) а если это домен и все пользователи то сменить ИП не просто с пользовательской то учёткой.)

также там можно прописать и FQDN машины, если я не ошибаюсь. с изменением его у пользователя тоже возникнут проблемы! вот потому то но и тут не всё гладко потому и

машины не с локалки, а из инета.если я укажу пользователю "Вход На" - это значит, что он может зайти на этот комп со своей учёткой - из любого места, с любого компа.

мы наверно про разные места говорим.) в АД в параметрах учётки кнопка "Вход на" означает локальный вход. если пользователю разрешено с помощью этой вкладки входить(локально) только на мойПК то локально на твойПК он никак попасть не сможет. но если этот пользователь вошёл локально на мойПК то по сети к шарам твойПК он сможет обращаться(если конечно разрешения на шару и папку позволяют это сделать) в не зависимости от того что в вышеуказаной вкладке у него разрешение только на мойПК.

в данном случае если ты пользователям пропишеш только их места работы то такой ситуации можно избежать.