Приветствую.
Есть лок сеть из 16 дочерних доменов и одного родительского. Основной контроллер родительского домена работает как шлюз, на нём к тому же поднят RRAS. На другом контроллере этого же домена есть некая папка FOLDER, расшаренная для всех. Создан юзер vpn_user для VPN доступа. Задача: данный юзер должен иметь доступ к папке FOLDER и только к ней. Т.е. чтобы он ни на одной машине ни одного домена не мог получить доступ к ресурсам.
Подскажите как с минмальными затратами времени решить эту задачу с помощью NTFS и групповых политик?
У меня 250 машин, я не могу просто на каждой в NTFS запретить доступ для этого юзера.
Групповая политика "Отказ в доступе к компьютеру из сети" пойдет?
Т.е. это в политике безопасности домена?
А что она означает? Означает ли она, что удалённый юзер, набрав в командной строке \\комп_юзера_дочернего_домена, не будет иметь доступ к розшаренным ресурсам любого юзера.
Что он не будет иметь доступ к просмотру ресурсов через сетевое окружение?
В доменных политиках она тоже есть, ветка
Конфигурация компьютера\конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя.
Пользователю будет отказано в доступе к компьютеру из сети, т.е. набрав \\computer_name он получит Access denied. Ровно тоже самое будет при доступе к компу через сетевое окружение. соответственно к шарам тоже доступа не будет....
Однако Ping и обмен пакетами будет нормально проходить.
В Ресурските политики описаны, посмотри может еще что-то интересное найдешь....
Ну хорошо, таким образом я запрещу юзеру соваться на все дочерние домены, но в глобальном-то домене мне нужно, чтобы он имел доступ к серваку, к его единственной шаре и больше ни к кому в этом домене. Значит тут так не пройдёт
Ну дык на сервак эту политику не распространяй (в окне со списком политик, выбираешь нужную, жмешь свойства, закладка безопасность, добавь в список сервак (именно комп! он со знаком $ должен быть в списке), и поставь галочку Запретить для Применять групповую политику).
Для сервака разруливай NTFS разрешениями и правами на общий доступ.
PS. а чего так много дочерних доменов-то, ведь на каждый домен придется эту политику навешивать отдельно.
Всё, спасибо, буду пробовать.
Само собой на каждый домен отдельно нужно, но можно и на сайт навесить Default-First... , он у меня один ))
А доменов так много, потому что 250 машин в сети и по количеству доменов - количество территориально распределённых офисов.
прошу прощения за офтоп...
Цитата |
по количеству доменов - количество территориально распределённых офисов. |
Да нет, вроде удобно рулить. Во всяком случае не с чем сравнить. И если связь с офисом пропадает, то юзера свободно себе заходят в дочерний домен, без глобального каталога.
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)