Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

WinCity.Ru _ Microsoft Windows NT/2000 _ VPN. Безопасность.

Автор: Cruiser Понедельник, 27 Декабря 2004, 12:47

Приветствую.
Есть лок сеть из 16 дочерних доменов и одного родительского. Основной контроллер родительского домена работает как шлюз, на нём к тому же поднят RRAS. На другом контроллере этого же домена есть некая папка FOLDER, расшаренная для всех. Создан юзер vpn_user для VPN доступа. Задача: данный юзер должен иметь доступ к папке FOLDER и только к ней. Т.е. чтобы он ни на одной машине ни одного домена не мог получить доступ к ресурсам.
Подскажите как с минмальными затратами времени решить эту задачу с помощью NTFS и групповых политик?
У меня 250 машин, я не могу просто на каждой в NTFS запретить доступ для этого юзера.

Автор: Jeremiah Понедельник, 27 Декабря 2004, 14:59

Групповая политика "Отказ в доступе к компьютеру из сети" пойдет?

Автор: Cruiser Понедельник, 27 Декабря 2004, 16:10

Т.е. это в политике безопасности домена?
А что она означает? Означает ли она, что удалённый юзер, набрав в командной строке \\комп_юзера_дочернего_домена, не будет иметь доступ к розшаренным ресурсам любого юзера.
Что он не будет иметь доступ к просмотру ресурсов через сетевое окружение?

Автор: Jeremiah Понедельник, 27 Декабря 2004, 18:37

В доменных политиках она тоже есть, ветка
Конфигурация компьютера\конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя.
Пользователю будет отказано в доступе к компьютеру из сети, т.е. набрав \\computer_name он получит Access denied. Ровно тоже самое будет при доступе к компу через сетевое окружение. соответственно к шарам тоже доступа не будет....
Однако Ping и обмен пакетами будет нормально проходить.
В Ресурските политики описаны, посмотри может еще что-то интересное найдешь....

Автор: Cruiser Понедельник, 27 Декабря 2004, 18:45

Ну хорошо, таким образом я запрещу юзеру соваться на все дочерние домены, но в глобальном-то домене мне нужно, чтобы он имел доступ к серваку, к его единственной шаре и больше ни к кому в этом домене. Значит тут так не пройдёт

Автор: Jeremiah Вторник, 28 Декабря 2004, 11:28

Ну дык на сервак эту политику не распространяй (в окне со списком политик, выбираешь нужную, жмешь свойства, закладка безопасность, добавь в список сервак (именно комп! он со знаком $ должен быть в списке), и поставь галочку Запретить для Применять групповую политику).
Для сервака разруливай NTFS разрешениями и правами на общий доступ.

PS. а чего так много дочерних доменов-то, ведь на каждый домен придется эту политику навешивать отдельно.

Автор: Cruiser Вторник, 28 Декабря 2004, 11:57

Всё, спасибо, буду пробовать.
Само собой на каждый домен отдельно нужно, но можно и на сайт навесить Default-First... , он у меня один ))
А доменов так много, потому что 250 машин в сети и по количеству доменов - количество территориально распределённых офисов.

Автор: Jeremiah Вторник, 28 Декабря 2004, 14:10

прошу прощения за офтоп...
Цитата
по количеству доменов - количество территориально распределённых офисов.

ИМХО это не удобно, плохо управляемо, если ты один этим рулишь. Я так сделал по-началу, сейчас жалею, лучше просто второй, третий, четвертый DC одного домена поставить,чем лес городить.

А с сайтами я нарвался на то, что пока были все в одном сайте, хранителем глобального каталога являлся только корневой DC (не смотря на выставленные галочки). Таким образом, когда связь с офисом пропадала, юзвери не регились в домене. Возможно это мои кривые ручки... в общем разнес все офисы по отдельным сайтам.

Автор: Cruiser Вторник, 28 Декабря 2004, 15:10

Да нет, вроде удобно рулить. Во всяком случае не с чем сравнить. И если связь с офисом пропадает, то юзера свободно себе заходят в дочерний домен, без глобального каталога.