Войти

Показать полную графическую версию : [решено] Доступ к сетевой папке не из домена


vfilatov87
29-01-2021, 10:50
Здравствуйте!
Прошу помочь по следующему вопросу.
Ситуация следующая:
имеем доменная сеть, Windows Server 2008 R2 и сеть вне домена. В доменной сети есть расшаренная папка. Из сети вне домена имеется доступ к папке в домене по учетной записи домена. В сети вне домена 10 ПК.
Доступ необходим только 4 пользователям.
Необходимо ограничить количество подключений к папке от имени пользователя!

Допустим есть учетка Петр Иванов - pivanov
Сам Петр уже подключился к папке.
Но вот второе подключение с этими же учетными данными с другого ПК должно быть запрещено.

Запрет должен быть именно по учетке!

Ageron
29-01-2021, 15:22
Но вот второе подключение с этими же учетными данными с другого ПК должно быть запрещено.
Запрет должен быть именно по учетке! »

так не получится.
как вы будете определять, какое из подключений под одним и темже пользователем, правильное?

vfilatov87
29-01-2021, 15:27
как вы будете определять, какое из подключений под одним и темже пользователем, правильное?

По времени, какое подлкючение старее, то и правильное

Iska
29-01-2021, 22:30
vfilatov87, насколько я понимаю, такое не реализуемо в принципе в существующем протоколе.

Просто разъясните пользователям, что делиться друг с другом данными своих учётных записей — нельзя.

paranoya
30-01-2021, 15:15
Теоретически, можно на журнал безопасности создать скрипт, который отрабатывает по коду события авторизации. В самом скрипте проверять какое это подключение за определённый промежуток времени. Если первое, то вносить в некий файл информацию об IP-адресе подключения. Если это подключение, которое превышает лимит, то дропать его, к примеру, через динамически изменяемое правило в брандмауэре, либо закрывать через команду powershell.
Но правильнее раздать каждому юзеру свои логин/пароль. Если, конечно, все эти ограничения преследуют не озвученную цель, достижение которой можно было сделать другим путём, а не этим ограничением количества подключений.

vfilatov87
02-02-2021, 09:38
paranoya, Неозвученная цель:
Есть программа Консультант Плюс, лицензии у неё конкурентные. Лицензий мало. Пользователей много.
Входа по логину/паролю у программы нет. Каких-то пулов лицензий тоже.

Запускается Консультант из расшаренной папки. Если пользователей в домене я могу ограничить политиками,
то вот как поступить с пользователями, которые не в домене?

Поэтому я обратился с таким неординарным вопросом.

paranoya
02-02-2021, 10:08
Завести каждому пользователю учётку в AD и пусть под ней они подключаются, вне зависимости от того, в домене компьютер или нет.
Сделать группу безопасности, в которую включить всех пользователей, которым нужен доступ к Консультанту.
Выдать этой группе права на чтение из папки с Консультантом.
Дальше курить бамбук и всем, кто превышает квоту подключения к Консультанту, а не к серверу, предлагать пробежаться по отделам и попросить кого-нибудь закрыть Консультант. Или пусть пишут бумажку руководству на увеличение количества лицензий.


PS. Если мне не изменяет память, то Консультант все подключения пишет себе в какой-то файл. Можно попробовать поиграть с этим файлом, как с его правами, так и с содержимым.

vfilatov87
02-02-2021, 11:06
paranoya, мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет.

Но хотелось бы услышать ваше мнение по этому поводу?

Busla
02-02-2021, 11:29
Неозвученная цель:
Есть программа Консультант Плюс, лицензии у неё конкурентные. Лицензий мало. Пользователей много. »
и?
цель так и не озвучена

Новые пользователи выкидывают старых, а вы хотите наоборот? - чтобы отклоняло новые подключения?
Или о чём речь?

paranoya
02-02-2021, 12:03
мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет. »
Неважно каким образом юзер запускает Консультант, последний все подключения пишет в свой файл. Я не помню точно, пишет он IP-адрес или нет, а вот логин юзера туда записывается.
Если RDP-подключение для одного юзера будет использоваться разными людьми с разных компьютеров, то вариантов два: первый - каждый новое подключение через RDP будет выбивать предыдущее, вариант два - новые подключение под тем же юзером просто не будут подключаться.
И в том, и в другом случае всё бессмысленно, ибо не будет четырёх подключенных пользователей Иванов, а будет только один.
Кроме этого, для RDP-подключений нужно поднимать сервер терминалов и покупать лицензии для четырёх людей, а это около 9 тыс. рублей на одного человека. Что возможно может сравниться со стоимостью увеличения количества лицензий для Консультанта.
Мало того, вариант с RDP ничем не лучше варианта заведения учёток в AD для каждого недоменного пользователя Консультанта, а даже хуже, исходя из затрат денег и времени.

Iska
02-02-2021, 14:23
paranoya, в конфигурационный файл для каждой из баз пишутся имена пользователей, которым разрешено подключение к базе. Как правило, «ручками».

vfilatov87
03-02-2021, 08:30
Iska, а можно подробнее?

Iska
03-02-2021, 23:22
vfilatov87, навряд ли — давно уже нет под рукой. Смотрите руководство администратора или обратитесь к поставщику.

vfilatov87
04-02-2021, 13:43
Всем спасибо!
Тему можно закрывать




© OSzone.net 2001-2012