Разрешить доступ к папке на сервере только с нужных ПК

drakmor · Сообщение **drakmor** » 09 апр 2008, 20:12

Доброго времени суток.

Возможно ли такое, сделать на Windows 2003 так, чтобы к определенным расшаренным папкам на сервере, доступ ограничивался не только по имени пользователя, но и по имени ПК, с которого пользователь получает доступ к этой папке. Проще говоря, задача - разрешить доступ к папке с важными документами только с терминального сервера, а с остальных ПК в этом домене, доступ этим же пользователям не давать.

abc · Сообщение **abc** » 10 апр 2008, 12:28

Так нельзя.
Можно по другому: завести на терминальном сервере или в домене специальные учетные записи, которым будет разрешен вход только на терминальном сервере и которым будет разрешен доступ к секретам.

drakmor · Сообщение **drakmor** » 10 апр 2008, 14:22

abc писал(а):Так нельзя.
завести на терминальном сервере или в домене специальные учетные записи

Это будет очень не удобно, т.к. стоит Citrix PS + сквозная аутентификация

Сообщение **and3008** » 10 апр 2008, 14:31

По другому ваша задача решения не имеет.

Ziggy Stardust

Еще вариант перевести файловый сервер, доступ к ресурсам которого нужно контролировать, с платформы Вин2к3 на юникс + самба.

Там можно будет для каждого ресурса ограничивать клиентов как по ай-пи, так и по учетным записям.

Но понятно дело другие заморочки всплывут.

abc · Сообщение **abc** » 10 апр 2008, 19:03

Это будет очень не удобно

Ну так и задача из области "найти себе приключений..."

Тогда перенесите секретные папки на терминальный сервер и не расшаривайте их, а используйте локальный доступ.

rust_z · Сообщение **rust_z** » 12 апр 2008, 10:15

AD GPO - ставите применяемость на компы+учетки, Пишете стартап скрипт, привязянный к GPO, который будет мапить сетевые диски под служебными доменными учетками. На ресурсы даете права только служебным учеткам, пароли от учеток никому не говорите... Настроить секъюрити на ресурсы+на ГПО - и счастье будет.

ALEX_SE · Сообщение **ALEX_SE** » 12 апр 2008, 20:17

Почему нельзя?
Кто мешает в разрешения прописать имя ПК?
А юзерами рулить на уровне разрешений NTFS,

Ziggy Stardust

ALEX_SE писал(а):Почему нельзя?
Кто мешает в разрешения прописать имя ПК?
А юзерами рулить на уровне разрешений NTFS,

Никто не мешает. Только поставленную задачу это не поможет решить. :-)

Учетные записи компьютеров в домене позволяют контролировать доступ к ресурсам спец. пользователей Local System от локальных компьютеров. Во всяком случае так дело обстоит с Вин2к3 + ХР.

На всякий случай провел только что эксперимент:

\\SERVER\R - сетевой ресурс доступ к которому нужно контролировать
\\WK - рабочай станция
DOMAIN\user - учетная запись пользователя в домене
DOMAIN\wk - учетная запись рабочей станции в домене

Прописываю следующие права доступа на ресурс \\SERVER\R:
Администраторы - Full Control
Все прошедшие проверку - Чтение
DOMAIN\wk - Запретить все (т.е. запрещающий ACE, имеет приоритет перед разрешающими).

В итоге с рабочей станции \\WK все так же имеем доступ к ресурсу \\SERVER\R в режиме "Чтение". :-(

Сообщение **Stranger03** » 14 апр 2008, 08:29

Ziggy Stardust
У Мелкософта права на доступ локально и по сети расчитываются по разному:
Локально: группа (большее), пользователь (большее) из них выбирается большее
По сети: группа (большее), пользователь (большее) из них выбирается меньшее
Возможно я что-то напутал, так давно это было. Но принцип примерно такой. Права пользователя устанавливаются в совокупности прав по группе и пользователю. Однако в случае запрета на доступ оно выше, когда расчитывается по группе или по пользователю. В твоем случае именно это и получилось.

Ziggy Stardust

Stranger03 писал(а):Ziggy Stardust
У Мелкософта права на доступ локально и по сети расчитываются по разному:
Локально: группа (большее), пользователь (большее) из них выбирается большее
По сети: группа (большее), пользователь (большее) из них выбирается меньшее
Возможно я что-то напутал, так давно это было. Но принцип примерно такой. Права пользователя устанавливаются в совокупности прав по группе и пользователю. Однако в случае запрета на доступ оно выше, когда расчитывается по группе или по пользователю. В твоем случае именно это и получилось.

Да тут суть не в этом. Я, честно говоря, такие тонкости уже тоже не помню. Как-то всегда без подобных накладок получается правила доступа описывать :-)

Суть в том, что доменная учетная запись рабочей станции не позволяет рулить доступом к ресурсам _всех кто залогинился_ на данную рабочую станцию в настоящий момент.

Попробовал совсем просто:
Права на ресурс - DOMAIN\wk "Чтение"
Права на НТФС - Все "Чтение"

Доступа к ресерсу пользователю DOMAIN\user с раб. станции DOMAIN\wk нет.

В общем не поможет это с исходной задачей :-)

Разрешить доступ к папке на сервере только с нужных ПК

Разрешить доступ к папке на сервере только с нужных ПК

Кто сейчас на конференции