Разграничить видимость в сетевом окружении между сотрудниками разных отделов.
 

Есть сеть под управлением win2003 server, два контроллера домена Server(192.168.0.1) и Server1(192.168.0.2)Есть отделы, у которых компьютерам заданы свои адреса статические и динамические, выдаваемые сервером DHCP:
Отдел1 192.168.0.10-192.168.0.19
Отдел2 192.168.0.30-192.168.0.39
Отдел3 192.168.0.40-192.168.0.49
Отдел5 192.168.0.50-192.168.0.69
Отдел7 192.168.0.70-192.168.0.79
Отдел8 192.168.0.80-192.168.0.89
Отдел9 192.168.0.90-192.168.0.99
Отдел11 192.168.0.110-192.168.0.119
Все компьютеры находятся в одном домене «domen.ru» и в одной рабочей группе «domen»
Нужно сделать так чтобы сотрудники отдела1 видели в сети только компьютеры своего отдела и два контроллера домена Server(192.168.0.1) и Server1(192.168.0.2);
сотрудники отдела2 видели в сети только компьютеры своего отдела и два контроллера домена Server(192.168.0.1) и Server1(192.168.0.2) ну и так далее.
Сервера являются контроллерами домена, серверами печати, файловыми серверами, то есть к ним должны иметь доступ всегда любые компьютеры домена.
Как можно решить эту задачу?

ИМХО: в такой интерпретации - никак.

Видимость в сети, по-моему, вообще лишнее. Достаточно разрулить права NTFS на общие ресурсы, безопасность на принтеры. Можно на сервер накатить ABE, дабы не смущать сотрудников видом недоступных им папок. Маунтить скриптами принтеры и нужные папки на сервере.

Можете разбить на подсети. Например:
Отдел 1 192.168.1.1-192.168.1.254
Отдел 2 192.168.2.1-192.168.2.254
.
.
.
Отдел N 192.168.N.1-192.168.N.254

Сервера вынести в отдельную подсеть, например 192.168.100.1-192.168.100.254

На DNS сервере назначить серверам нормальные имена и, либо, научить сотрудников набирать в окне выполнить \\server1\ либо подключить им как сетевой диск. Т.к. у вас доменная структура, то смело делайте logon script на подключение сервера как сетевого диска.

Можно использовать фильтры пакетов сетевого уровня (ФПСУ-IP), с помощь которых можно разрулить - какие IP друг друга видят, а какие - нет.
А еще можно взять программируемый свич (например HP Procurve) и разрулить - какие дырки будут друг друга видеть...
Категорически несогласен.

в раб. группе мей би.. но как быть с доменом и
с компилируемым списком клиентов передаваемый мастер браузером?

Поставь "Интегриты" от ЧекПоинта и все проблемы разрешь, иначе тебе не выбраться.
Еси начнешь делить на ВиЛаны, то как ты будешь с домаин-контроллерами. Если пойдешь по дороге "Мастер-Броузер-Табле" - увязнешь в ручном конфигурировании. КОрочем раздели сеть на сегменты с помощью стороннего продукта.

Fighter
Ну а если в сети несколько десятков компов и несколько серверов, причем к серверу 1 доступ должен быть только с компов 1-10, к серверу 2 - с компов 11-20 и т.д., а персонал за каждой рабочей станцией сидит технически грамотный - зачем мне повышать угрозу взлома со стороны инсайдеров?

Если я разобью на подсети адресное пространство, то какова гарантия что компьютеры одной из групп 192.168.1.1-192.168.1.254 будуе видеть контроллер домена и к нему(рабочей станции) будет применяться групповая политика домена? Какие службы и где необходимо настроить чтобы это выполнялось? Достаточно ли будет на в настройках сетевого окружения на рабочей станции настроить вручную адреса DNS сервера 192.168.100.1? Гложат сомнения что разные сети друг друга не увидят без спец настроек... Роутеры нужно будет настраивать на контроллерах домена?

А по подробнее можно написать что такое ""Интегриты" от ЧекПоинта" и где их можно скачать?

2 Babki

Да, разделение на подсети вам не подходит, да и вообще этот способ никуда не годится, т.к. придется использовать целую кучу маршрутизаторов. Проще всего вам приобрести Switch с возможностями объединять пользователей в VLAN.

Fighter

Цитата:

будет более целесообразным манипулировать соотв. значениями AD && local users and groups && security policy, etc.

А с моей точки зрения - проще поставить одну железку и разграничить доступ на аппаратном уровне...
Каждый отдел - в отдельный свич (обычный), от каждого свич - ап-линк до программируемого свича.
Оба сервера - тоже в программируемый свич. И дальше на нём настраиваем - дырки для серверов (например 1 и 2) видят все остальные дырки (3-24). А все остальные (3-24) видят только дырки 1 и 2. И поставленная задача выполнена.

babki, разбиваешь на подсети, на контроллерах поднимаешь виртуальную маршрутизацию.

FighterДумаю внимательно. Потому что способ, предложенный мной, как раз решает пролему, стоящую в заголовке темы.
По поводу того, что не ответил на Ваш вопрос ("как быть с доменом и
с компилируемым списком клиентов передаваемый мастер браузером") - мне просто непонятно, что Вы имеете в виду? При реализации указанного способа любой компьютер в домене видит оба домен-контролера, а что еще надо для нормальной работы? У меня, во всяком случае, при реализации указанного варианта проблем не возникало.

во-первых то что предлагаете Вы, можно решить более малой кровью (читай деньгами :]) к примеру IPSec...
во-вторый я не совсем предстявляю как в предложенной вами ситуации сегментация портов
решит ситуацию с браузингом... вопрос же стоял именно так..
безусловно, предложенный вариант решит проблему. Частично. у сотрудников отдела1 будет доступ и к контроллерам и к компьютерам своего отдела... так же у них не будет доступа к компьютерам других отделов... На первый взгляд - решение! но, если вы, как говорите, внимательно читаете,
я акцентирую внимание на то что даже в такой ситуации клиент. ЛЮБОЙ клиент домена, будет получать от мастер-браузера (главного мастер-браузера домена) ПОЛНЫЙ.. список сети!

Fighter, видимо мы просто по-разному понимаем фразу "видеть в сети компьютер".
Для меня, например, видеть компьютер и видеть имя компьютера в списке - это разные вещи... Пусть себе на здоровье видит его в списке - связи-то до него все равно не будет.
Думаю, что до получения отзыва о предложенных вариантах от автора темы можно прекратить никому не нужный спор...

Для меня, например, видеть компьютер и видеть имя компьютера в списке - это разные вещи...
безусловно ) я уже было подумал, что мы дисскутировали о его видимости под столом...
что до спора и его целесообразности, да простят, надеюсь, меня модераторы и автор,
тем паче, на мой взгляд, нее так далеко мы перешагнули линию offтопа )
а данный вопрос, имхо, вполне актуален и нет-нет да и возникает в разделе..