Здравствуйте!
Прошу помочь по следующему вопросу.
Ситуация следующая:
имеем доменная сеть, Windows Server 2008 R2 и сеть вне домена. В доменной сети есть расшаренная папка. Из сети вне домена имеется доступ к папке в домене по учетной записи домена. В сети вне домена 10 ПК.
Доступ необходим только 4 пользователям.
Необходимо ограничить количество подключений к папке от имени пользователя!

Допустим есть учетка Петр Иванов - pivanov
Сам Петр уже подключился к папке.
Но вот второе подключение с этими же учетными данными с другого ПК должно быть запрещено.

Запрет должен быть именно по учетке!

Но вот второе подключение с этими же учетными данными с другого ПК должно быть запрещено.
Запрет должен быть именно по учетке! »

так не получится.
как вы будете определять, какое из подключений под одним и темже пользователем, правильное?

как вы будете определять, какое из подключений под одним и темже пользователем, правильное?

По времени, какое подлкючение старее, то и правильное

vfilatov87, насколько я понимаю, такое не реализуемо в принципе в существующем протоколе.

Просто разъясните пользователям, что делиться друг с другом данными своих учётных записей — нельзя.

Теоретически, можно на журнал безопасности создать скрипт, который отрабатывает по коду события авторизации. В самом скрипте проверять какое это подключение за определённый промежуток времени. Если первое, то вносить в некий файл информацию об IP-адресе подключения. Если это подключение, которое превышает лимит, то дропать его, к примеру, через динамически изменяемое правило в брандмауэре, либо закрывать через команду powershell.
Но правильнее раздать каждому юзеру свои логин/пароль. Если, конечно, все эти ограничения преследуют не озвученную цель, достижение которой можно было сделать другим путём, а не этим ограничением количества подключений.

paranoya, Неозвученная цель:
Есть программа Консультант Плюс, лицензии у неё конкурентные. Лицензий мало. Пользователей много.
Входа по логину/паролю у программы нет. Каких-то пулов лицензий тоже.

Запускается Консультант из расшаренной папки. Если пользователей в домене я могу ограничить политиками,
то вот как поступить с пользователями, которые не в домене?

Поэтому я обратился с таким неординарным вопросом.

Завести каждому пользователю учётку в AD и пусть под ней они подключаются, вне зависимости от того, в домене компьютер или нет.
Сделать группу безопасности, в которую включить всех пользователей, которым нужен доступ к Консультанту.
Выдать этой группе права на чтение из папки с Консультантом.
Дальше курить бамбук и всем, кто превышает квоту подключения к Консультанту, а не к серверу, предлагать пробежаться по отделам и попросить кого-нибудь закрыть Консультант. Или пусть пишут бумажку руководству на увеличение количества лицензий.


PS. Если мне не изменяет память, то Консультант все подключения пишет себе в какой-то файл. Можно попробовать поиграть с этим файлом, как с его правами, так и с содержимым.

paranoya, мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет.

Но хотелось бы услышать ваше мнение по этому поводу?

Неозвученная цель:
Есть программа Консультант Плюс, лицензии у неё конкурентные. Лицензий мало. Пользователей много. »
и?
цель так и не озвучена

Новые пользователи выкидывают старых, а вы хотите наоборот? - чтобы отклоняло новые подключения?
Или о чём речь?

мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет. »
Неважно каким образом юзер запускает Консультант, последний все подключения пишет в свой файл. Я не помню точно, пишет он IP-адрес или нет, а вот логин юзера туда записывается.
Если RDP-подключение для одного юзера будет использоваться разными людьми с разных компьютеров, то вариантов два: первый - каждый новое подключение через RDP будет выбивать предыдущее, вариант два - новые подключение под тем же юзером просто не будут подключаться.
И в том, и в другом случае всё бессмысленно, ибо не будет четырёх подключенных пользователей Иванов, а будет только один.
Кроме этого, для RDP-подключений нужно поднимать сервер терминалов и покупать лицензии для четырёх людей, а это около 9 тыс. рублей на одного человека. Что возможно может сравниться со стоимостью увеличения количества лицензий для Консультанта.
Мало того, вариант с RDP ничем не лучше варианта заведения учёток в AD для каждого недоменного пользователя Консультанта, а даже хуже, исходя из затрат денег и времени.

paranoya, в конфигурационный файл для каждой из баз пишутся имена пользователей, которым разрешено подключение к базе. Как правило, «ручками».

Iska, а можно подробнее?

vfilatov87, навряд ли — давно уже нет под рукой. Смотрите руководство администратора или обратитесь к поставщику.

Всем спасибо!
Тему можно закрывать