sovransky5
08-08-2015, 19:55
Приветствую всех!
У меня такая вот задача: на территории предприятия будет несколько рабочих станций (Win7 в домене W2k8R2) основная цель которых запускать клиент-серверное приложение и работать в нем. Приложение это коннектится к SQL серверу. Люди которые будут работать не совсем наши сотрудники плюс стоят эти компы далеко, к тому же работают по ночам. Не хотелось бы чтобы у них был доступ к сетевому окружению и общедоступным ресурсам в сети. В частности, на всех машинах в домене есть одна папка для обмена файлами с разрешением на чтение и запись для "Прошедших проверку". В общем в идеале надо чтобы они никуда кроме этой софтины залезть не могли. Вопрос, как это лучше всего организовать?
Что я пока планирую:
Отключаю везде USB порты.
Выставляю им права обычного пользователя естественно.
Через SRP выставлю разрешение им на запуск только именно этой софтины. Это реально?
Через GPP можно выключить значок "Сетевого окружения", но это полумера.
Можно отключить "NetBIOS через TCP/IP". Это поможет?
Можно так же сделать автологон в домен чтобы не было мороки с запоминанием и набором пароля при включении.
PS. Может эти машины вообще не заводить в домен? Обновления мне туда ставить большой необходимости нет, антивирус я там тоже не планирую. Доступ на них радмином. Авторизация на SQL локальная.
У меня такая вот задача: на территории предприятия будет несколько рабочих станций (Win7 в домене W2k8R2) основная цель которых запускать клиент-серверное приложение и работать в нем. Приложение это коннектится к SQL серверу. Люди которые будут работать не совсем наши сотрудники плюс стоят эти компы далеко, к тому же работают по ночам. Не хотелось бы чтобы у них был доступ к сетевому окружению и общедоступным ресурсам в сети. В частности, на всех машинах в домене есть одна папка для обмена файлами с разрешением на чтение и запись для "Прошедших проверку". В общем в идеале надо чтобы они никуда кроме этой софтины залезть не могли. Вопрос, как это лучше всего организовать?
Что я пока планирую:
Отключаю везде USB порты.
Выставляю им права обычного пользователя естественно.
Через SRP выставлю разрешение им на запуск только именно этой софтины. Это реально?
Через GPP можно выключить значок "Сетевого окружения", но это полумера.
Можно отключить "NetBIOS через TCP/IP". Это поможет?
Можно так же сделать автологон в домен чтобы не было мороки с запоминанием и набором пароля при включении.
PS. Может эти машины вообще не заводить в домен? Обновления мне туда ставить большой необходимости нет, антивирус я там тоже не планирую. Доступ на них радмином. Авторизация на SQL локальная.