2008 - Запрет доступа к шарам юзеров домена с компьютеров не состоящих в домене

Delirium · Отправлено: **01:45, 07-08-2009** | #2

Maks29a, для этого на шарах юзеров надо выставить право доступа - только Пользователи домена.
Ну и вообще это не дело - иметь шары юзеров. Сетевые папки должны быть централизованы и управляться администраторами.

Telepuzik · Отправлено: **12:22, 07-08-2009** | #3

Maks29a
Используйте "Групповую политику", установите политику "Доступ к компьютеру из сети" указав только тех пользователей которым разрешен доступ. Примените политику к тем компьютерам на которые не залогинившееся пользователи не должны заходить.

Safety1st · Отправлено: **17:12, 09-08-2009** | #4

Delirium, Telepuzik,
свои доменные учетные данные пользователь спокойно введёт в появившимся при доступе окне запроса.

Не знаю, насколько принципиально автору: чтобы никто не имел доступа с компьютеров не в домене к компьютерам в домене. Мой вопрос: существуют ли какие-то методы реализовать изоляцию домена с использованием групповой политики, но без использования IPsec? Или, по-другому, как настроить групповую политику, чтобы компьютеры в домене не принимали учетные данные пользователей (идеально, чтобы даже окно не появлялось) или не авторизовывали их для доступа?

verna · Отправлено: **16:40, 17-08-2009** | #5

Isotonic
> Или, по-другому, как настроить групповую политику, чтобы компьютеры в домене не принимали учетные данные пользователей (идеально, чтобы даже окно не появлялось) или не авторизовывали их для доступа?

не понял вопроса. вам нужно получить компы-терминалы (типа). что бы их никто не мог выключить-включить?

Maks29a
> Собственно как сделать так чтобы юзеры которые не залогались в домене, не могли заходить на шары юзеров находящихся в домене, возможна настройка каждой машины отдельно, но не желательна, поскольку ещё имеется wi-fi сеть. Сервер заведён на следующие роли AD, dns, dhcp, file serv. В этих вопросах новичок, гугл полного ответа не дал, прошу помощи.

кажется вы не с той стороны пытаетесь решать вопрос. Разрешения на шары должны быть настроены так, что бы пользователь хоть в домене хоть нет, не мог попасть в чужую папку (ну или ту, которая ему не нужна).

Safety1st · Отправлено: **22:17, 17-08-2009** | #6

Цитата verna:

не понял вопроса. вам нужно получить компы-терминалы (типа). что бы их никто не мог выключить-включить? »

Нет.

verna · Отправлено: **10:54, 18-08-2009** | #7

ну на нет и суда нет

Safety1st · Отправлено: **12:38, 18-08-2009** | #8

Michael · Отправлено: **16:58, 18-08-2009** | #9

Maks29a, можно осуществить привязку пользователей к определенным компам - только к тем, на которых он имеет право залогиниться (в частном случае - это только его собственный персональный компьютер). В этом случае при попытке пользователя обратиться к доменной шаре к компьютера, не включенного в домен, даже при указании правльной пары логин/пароль пользователь получит отказ - не разрешен вход пользователя с данной рабочей станции.

U-russia · Отправлено: **18:46, 25-08-2009** | #10

Если вопрос имеет отношение к безопасности беспроводных сетей.
пара статей на тему, хотя таких статей этих очень много, и наверное можно найти и получше
http://www.itsec.ru/articles2/Oboran...tu-wi-fi-setey
http://www.citforum.ru/security/articles/wireless_sec/

В данном случае, как я понял, имеется опасение что к сети подключиться ононимный пользователь (например через wi-fi)
и соответственно никаких групповых политик к нему применяться не будет, т.ч. предидущий пост отдыхает

...

Вас должна интересовать вкладка групповых политик windows settings\security settings\local policies\security option
вособенности все настройки Network Access
например Do not allow anonymous enumiration of sam accounts and shares
(но не только, см. все опции)

windows settings\security settings\local policies\user rights assignment
например "deny access to this computer from network" если включить сюда Anonymous logon
так же из access this computer from network можно убрать Everyone, особенно если в предидущей вкладке стояло разрешение Let everyone permission to anonymous user

вообщем надо внимательно изучить эти вкладки групповой политики задаваемой пользователям...

при конфигурировании этих опций на серверах, а вособенности контроллере домена надо быть крайне аккуратным, и для начала выбрать тестовую группу на которой и опробывать данные опции.
выбрав опции незабуддте использовать команду gpupdate /force на клиентах или перезагрузить их чтобы политики применились, далее протестируйте разрешенный доступ и общую работоспособность. контролируйте появление ошибок в журнале..

Так же относительно недавно появилась служба NAP - network access protection которая может органичить доступ к сети для пользователей не удовлетворяющих установленным критериям (например не установлены обновления), но для её работы потребуется развертывание дополнительных служб на сервере. (здесь стоит упомянуть и службу сертификации..)

Вобщем сетевая безопасность штука сложная и все объекты в ней взаимосвязаны, и простого ограничения может нехватить в случае искушенного злоумышленника...