Windows server 2003
Terminal Server
20-50 пользователей.
есть посчти все IP адреса\сети, с которых входят пользователи.
Можно ли реализовать следующее:
если пользователи входят с такого-то IP адреса\сети, то они могут определённые права (к примеру могут закачивать на сервер файлы через подключённый диск).
если пользователи входят с IP адреса\сети отличающегося от "разрешённых", то только права read only.

к примеру, если пользователь передал пароль или его сломали, то зайдя с другого IP адреса\сети, он ничего не смог сделать, только читать.
Спасибо.

только конкретно правами пользователя. если пользователь имеет право значит закачивает инче нет.

применяй политику паролей(сложность, чтоб не поломали) и административные наказания за передачу.)

применяй политику паролей(сложность, чтоб не поломали) и административные наказания за передачу.) »
это само собой, а чтоб наверняка... взломали, но read only.

Я бы попробавал эту задачу реализовать на vbs.

А если открыть свойства пользователя, закладку "Учетная запись", нажать кнопку "Вход на" и задать имя компьютера, то этот юзер сможет войти в сеть только с этого компьютера.

Второй способ - поставить firewall, в котором ограничить по ip (я так линукс-пользователей контроллирую).

После такой двойной защиты будет достигнуто желаемое.

Но! Можно адрес поменять, компьютер переименовать...

А если открыть свойства пользователя, закладку "Учетная запись", нажать кнопку "Вход на" и задать имя компьютера, то этот юзер сможет войти в сеть только с этого компьютера. »
если поставить галку - то это будет разрешение куда заходить, а не откуда.
Второй способ - поставить firewall, в котором ограничить по ip »
этого не могу позволить, начальство ездит по командировкам и IP меняются постоянно.

да про первое ошибся, полностью согласен

насчет второго - можно же выборочно - некоему пользователю HugoBoss дать права с любого IP

А если открыть свойства пользователя, закладку "Учетная запись", нажать кнопку "Вход на" и задать имя компьютера, то этот юзер сможет войти в сеть только с этого компьютера.
Второй способ - поставить firewall, в котором ограничить по ip (я так линукс-пользователей контроллирую).
После такой двойной защиты будет достигнуто желаемое.
Но! Можно адрес поменять, компьютер переименовать... »

ну мона права порезать.....чтобы не смогли...через политики домена или локаольно, если домена нету....

А если открыть свойства пользователя, закладку "Учетная запись", нажать кнопку "Вход на" и задать имя компьютера, то этот юзер сможет войти в сеть только с этого компьютера. »

всё правильно. пользователь сможет войти только на указаный ПК, а значит передавать свой пароль не имеет смысла. т.к. войти с другой машины не представляеться возможным. остается ждать пока пользователь уступит место. этот вариант поможет тебе ограничить доступ но проблема решена не полностью.

т.к. войти с другой машины не представляеться возможным. »
это почему? один зашёл из одного города "на один комп" и друой пользователь зашёл из другого городв тоже "на этот комп".
только что разрешил себе вход на "один комп", зашёл на него с рабочего и удалённого компа.

это почему? »

потому что там мы прописали ИП. а в дной сети двух машин с одинаковыми ИП не должно быть! учти маршрутизацию а точнее возникшый из-за этого конфликт.) а если это домен и все пользователи то сменить ИП не просто с пользовательской то учёткой.)

также там можно прописать и FQDN машины, если я не ошибаюсь. с изменением его у пользователя тоже возникнут проблемы! вот потому то войти с другой машины не представляеться возможным »

но и тут не всё гладко потому и этот вариант поможет тебе ограничить доступ но проблема решена не полностью. »

а в дной сети двух машин с одинаковыми ИП не должно быть »
машины не с локалки, а из инета.если я укажу пользователю "Вход На" - это значит, что он может зайти на этот комп со своей учёткой - из любого места, с любого компа.

если я укажу пользователю "Вход На" - это значит, что он может зайти на этот комп со своей учёткой - из любого места, с любого компа. »

мы наверно про разные места говорим.) в АД в параметрах учётки кнопка "Вход на" означает локальный вход. если пользователю разрешено с помощью этой вкладки входить(локально) только на мойПК то локально на твойПК он никак попасть не сможет. но если этот пользователь вошёл локально на мойПК то по сети к шарам твойПК он сможет обращаться(если конечно разрешения на шару и папку позволяют это сделать) в не зависимости от того что в вышеуказаной вкладке у него разрешение только на мойПК.

в данном случае если ты пользователям пропишеш только их места работы то такой ситуации пользователь передал пароль или его сломали, то зайдя с другого IP адреса\сети » можно избежать.