Показать полную графическую версию : Запрет на запись в сетевые ресурсы из WinServ2008R2
Есть Windows Server 2008 R2 с ролью Служб удаленных рабочих столов (Сервер терминалов). С него есть доступ в разные сетевые папки на других серверах и на диски пользователей, подключенных по RDP, через \\tsclient.
На сервере нужно запретить запись данных в сеть, чтобы не было утечки информации. При том читать из сети возможность нужно оставить. Запрет на запись в сеть должен быть независимым от настроек тех серверов, на которые пытаются записать.
То есть если человек пытается записать что-то в папку на удаленном сервере
\\server_smb\share\
или
\\tsclient\d
то должна сработать блокировка на нашем сервере, с которого пытаются осуществить запись.
Если с тех же папок пытаются что-то прочесть, то должно быть все как обычно. Конечно, если на удаленном сервере есть разрешения.
Знает ли кто решение этой проблемы?
MaleyDarc
12-12-2011, 14:52
Конечно есть решение.
Два разных логина на одного пользователя. Один для обычной работы, второй для RDP. Права раздать соответственно.
Проблема в том, что пользователи подключаются к серверу только по RDP. То есть сейчас у пользователя есть возможность читать и писать в папки типа
\\server_smb\share\
и
\\tsclient\d
Нужно оставить только чтение с этих папок. Причем независимо от настроек на удаленной стороне. Если на той стороне разрешена запись, то у нас должна сработать блокировка на запись в такие папки.
Denis Dyagilev
12-12-2011, 16:53
Для чего в таком случае вообще разрешать пользователям маппировать локальные диски в терминальную сессию?
Чтобы с них можно было что-то прочитать. А вообще это к руководству - зачем :) Поставили задачу, вот и ищу решение.
DmitriiV
13-12-2011, 14:18
Нужно оставить только чтение с этих папок. Причем независимо от настроек на удаленной стороне. »Ну, независимо, вероятнее всего, не получится.
Решение, которое видится, заключается в том, чтобы тем или иным способом (сценарием, например) изменять SMB-разрешения соответствующих ресурсов при начале/завершении сеанса.
Суть изменения - добавлять в ACL/удалять из ACL запись типа ЗАПРЕТ (ACCESS_DENIED_ACE_TYPE) с маской доступа 0x40000000 (GENERIC_WRITE) для конкретного пользователя (группы пользователей).
Решение, которое видится »
Благодарю, есть о чем подумать, жаль, что без независимости. Но это в отношении "обычных" сетевых шар и, как я понял, только на основе NTFS под Windows. Для Samba надо как-то иначе, но похоже, что-то подобное, раз уже не независимо.
А как быть в отношении RDP-дисков? Особенно если человек подключается с Win98 или Linux, где нет NTFS-разрешений?
Denis Dyagilev
13-12-2011, 14:43
Маппирование дисков в RDP сессию легко запрещается политиками терминального сервера.
Маппирование дисков в RDP сессию легко запрещается политиками терминального сервера. »
Это если совсем закрыть доступ. А как оставить только для чтения?
DmitriiV
13-12-2011, 15:01
Речь шла хотя и о Windows, но вовсе не о безопасности NTFS, а именно о разрешениях на доступ к общему ресурсу.
Про Win98 и *nix - ничего не скажу (первое давно забыто, со вторым не работаем).
В любом случае данный метод годится только в том случае, когда управление доступом предполагает и разрешающие, и запрещающие записи с преобладанием приоритета запрета над разрешением.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.