Sagub826
10-01-2018, 23:00
Коллеги, привет.
Есть терминальный ферма на WinSrv2016.
Задача: ограничить доступ с сервера к определенным ресурсам КСПД. Пример - группа1 имеет доступ к внутреннему web-ресурсу, а группа2 нет. Но при этом группа2 может работать с сетевой шарой, а группа1 нет.
Созданы 2 группы AD
domain\RDS_WEB_Users - пользователи группы1
domain\RDS_FileServer_Users - пользователи группы2
Решаю задачу с помощь встроенного Firewall, т.к. начиная с 2012 в правилах появилась вкладка Local Principal.
Что бы не писать вообще все правила (для DC, служебных серверов и т.д.), делаю следующие:
Пишу правило на блокировку нужного мне ресурса
Через Local Principal делаю исключение для отдельной группы AD
Получается исключение на блокировку – для всех блокируется, кроме групп в исключении.
Правило для web-ресурса
http://forum.oszone.net/attachment.php?attachmentid=150532&stc=1&d=1515613419
http://forum.oszone.net/attachment.php?attachmentid=150533&stc=1&d=1515613662
Работает отлично: группа1 заходит на web-ресурс, а для группы2 ресурс не доступен – в логах видно, что соединение дропается, telnet на сервер по 443 не проходит.
А вот с правилом на файловый сервер беда…
http://forum.oszone.net/attachment.php?attachmentid=150534&stc=1&d=1515613806
http://forum.oszone.net/attachment.php?attachmentid=150535&stc=1&d=1515613806
Но при переходе в шару ошибка
http://forum.oszone.net/attachment.php?attachmentid=150536&stc=1&d=1515613915
, а telnet на 445 проходит.
В логе firewall
http://forum.oszone.net/attachment.php?attachmentid=150537&stc=1&d=1515613915
Это очень странно. Получается под одним и тем же пользователем, firewall блокирует при переходе на шару , но не блокирует telnet. , а по правилу пользователь должен был попасть в шару.
Проблема только при настройке правил на файловый ресурс.
Кроме web и шары, настроены правила на RDS, клиент-серверные приложения, все ок- если пользователь не в группе, telnet не проходит, ресурс не доступен, если в группе , то и telnet ok и ресурс доступен.
Пробовал настроить без привязки к протоколу и порту (any-any), результат тот же.
Кто-то встречался с похожей проблемой? Плиз хелп
Есть терминальный ферма на WinSrv2016.
Задача: ограничить доступ с сервера к определенным ресурсам КСПД. Пример - группа1 имеет доступ к внутреннему web-ресурсу, а группа2 нет. Но при этом группа2 может работать с сетевой шарой, а группа1 нет.
Созданы 2 группы AD
domain\RDS_WEB_Users - пользователи группы1
domain\RDS_FileServer_Users - пользователи группы2
Решаю задачу с помощь встроенного Firewall, т.к. начиная с 2012 в правилах появилась вкладка Local Principal.
Что бы не писать вообще все правила (для DC, служебных серверов и т.д.), делаю следующие:
Пишу правило на блокировку нужного мне ресурса
Через Local Principal делаю исключение для отдельной группы AD
Получается исключение на блокировку – для всех блокируется, кроме групп в исключении.
Правило для web-ресурса
http://forum.oszone.net/attachment.php?attachmentid=150532&stc=1&d=1515613419
http://forum.oszone.net/attachment.php?attachmentid=150533&stc=1&d=1515613662
Работает отлично: группа1 заходит на web-ресурс, а для группы2 ресурс не доступен – в логах видно, что соединение дропается, telnet на сервер по 443 не проходит.
А вот с правилом на файловый сервер беда…
http://forum.oszone.net/attachment.php?attachmentid=150534&stc=1&d=1515613806
http://forum.oszone.net/attachment.php?attachmentid=150535&stc=1&d=1515613806
Но при переходе в шару ошибка
http://forum.oszone.net/attachment.php?attachmentid=150536&stc=1&d=1515613915
, а telnet на 445 проходит.
В логе firewall
http://forum.oszone.net/attachment.php?attachmentid=150537&stc=1&d=1515613915
Это очень странно. Получается под одним и тем же пользователем, firewall блокирует при переходе на шару , но не блокирует telnet. , а по правилу пользователь должен был попасть в шару.
Проблема только при настройке правил на файловый ресурс.
Кроме web и шары, настроены правила на RDS, клиент-серверные приложения, все ок- если пользователь не в группе, telnet не проходит, ресурс не доступен, если в группе , то и telnet ok и ресурс доступен.
Пробовал настроить без привязки к протоколу и порту (any-any), результат тот же.
Кто-то встречался с похожей проблемой? Плиз хелп