|
Ограничение доступа к расшаренному ресурсу
Всем добрый день.
Подскажите - можно ли ограничить доступ по сети к расшаренному ресурсу не по паре логин+пароль, а по тройке компьютер+логин+пароль? Т.е. например имеем в некотором домене пользователя pupkin, компьютер PC1 и сетевой ресурс share. Надо дать к этому ресурсу share доступ пользователю pupkin, но при условии, что он в данный момент залогинен на компьютере PC1. Т.е. даже если я знаю пароль пользователя pupkin, я не смогу получить доступ к share ни с какой другой машины кроме PC1. Можно ли такое организовать? А стандартными средствами win2003? |
ИМХО - Сомневаюсь в возможности реализации подобной идеи стандартными средствами Windows 2003 Server.
|
А хотя бы не страндартными?
|
Не совсем то, что вам надо, но всё-таки довольно близко - в свойствах пользователя в Active Directory можно указать - с какого компьютера разрешён вход в домен. Т.е. получится ситуация, что пользователь Pupkin вообще сможет войти в сеть только с того компа, который вы укажите - такой вариант не подходит?
|
Если мне память не изменяет - для реализации сказанного xeel нужен WINS-сервер, так как разрешение на вход пользователя на рабочие станции с определёнными именами проверяется по NetBIOS-именам компьютеров.
Да и у него ещё узнать надо как у него сеть реализована - может там стандарт, чтобы каждый пользователь мог с любой станции заходить? Ждём комментариев создателя темы. |
AD Users and Computers можно привязать юзера к одному компу, а дальше сделать для него разрешение на папку
|
wins сервер присутствует, пользователям разрешено входить с любой машины, но ни что не мешает лишить их этой маленькой радости
жизни :) Вариант предложенный xeel частично проблему решает. Частично потому, что, к сожалению, немного изменились исходные условия :( доступ потребуется предоставлять сотрудникам удаленных офисов (связь через ADSL канал), при этом их машины находятся в рабочих группах и нет возможности включить их в домен, соответственно я не смогу сделать привязку их логинов к компу. Но в пределах домена вариант xeel кажется решает проблему: по крайней мере нельзя будет запустить тот же самый total commander от имени pupkin и получить доступ к ресурсу share. |
Установите практику смены пароля, а так же доведите до сотрудников через руководство, что будет, если его пароль узнает кто-то другой. Если же рук-ву пофиг, то и админу должно быть пофиг.
А еще как вариант - смарт карты или ключи доступа, то есть зная пароль, но не имея ключа (например eToken от Aladdin) нельзя будет получить доступ к ресурсам |
Смарт карты или ключи доступа не подойдут - на это нужны деньги.
Смену паролей оформить можно, но крику будет, мама не горюй. Т.е. получается такую схему реализовать нельзя? Или просто никто с этим не сталкивался. |
В случае с удаленными компами ничего не сделаешь
Ну юзер ноут поменял, или выход в инет Настрой подключение удаленных юзеров к серверу особым способом, и тогда, только совокупность паролей, логинов, пре-шаред кеев, сертификатов могут гарантировать некую "безопасность" Хотя, кому надо, инфу узнает Ждемс IPv6, когда траффик хоть как-то будет шифроваться... |
| Время: 23:42. |
Время: 23:42.
© OSzone.net 2001-