[gf100]

sfap
Если я не ошибаюсь, можно разрешить вход администраторам только с фиксированных (определенных) адресов... Это, кажется, делается через политики.
А если нужен просто аудит, просто включи его, ну и настрой под конкретную задачу.

[monkkey]

Цитата:

так как некоторым людям я все-равно должен буду сказать

Так НЕ ДЕЛАЕТСЯ! Если необходимо кому-то выполнять некоторые задачи, то это решается делегированием. Иначе хвостов всё равно не найдете.

[sfap]

С других адресов мне и самому иногда заходить нужно, хотя, обычно только на разшаренные ресурсы. Мне нужно, чтобы именно по RDP никто не мог подключиться к удаленному рабочему столу, или, чтобы могли, но, если IP адрес подключаемого не входит в список разрешенных, то в логах писалось, что был был подключен пользователь с таким- то адресом. А я уж сам разберусь- был ли это я, или кто-то другой... Так же неплохо было бы контролировать не только удаленному рабочему столу, но и все дыры: telnet, например.

[Butunin Klim]

sfap
Я бы посоветовал Вам поставить ISA там все можно настроить и логи пиет и можно поставить выполнение определнный программ например при запуске RDP у меня так стоит.
При обращении к 3389 мне на почту падает поччта с отчетом что было попытка подключения с такого то ip

[sfap]

Цитата:

Так НЕ ДЕЛАЕТСЯ! Если необходимо кому-то выполнять некоторые задачи, то это решается делегированием. Иначе хвостов всё равно не найдете.

Вы совершенно правы, я навожу порядок, но не все сразу, просто настраивать этот домен нет смысла- я все равно провожу миграцию в новый домен, о проблемах с которой пишу в другой теме. Собираюсь именно так и сделать, но когда я пришел сюда работать- то начинал с малого, и самого важного. У меня контроллер домена стоит собранный в корпусе Codegen за 25 баксов, на нем нету RAID, стояла бухгалтерия, причем не только 1С, но и ееще специфическая программа. известная только в наших краях, так же клиент-банк и Kerio Mail, а на вторичном контроллере домена лежит база данных компании, на которой работают несколько человек, и этот компьютер стоял не в серверной, а у пользователя, и она на нем работала, имея права админа контроллера домена, (и не только она одна, а еще человека четыре) и еще возмущалась, когда я пытался его забрать. При всем этом местный админ не считал нужным делать бэкап. Не сочтите это за флуд, просто попёрли из меня эмоции....... При такой организации сети, если один сервер ляжет, то фирма парализована полностью на то время, когда я восстанавливаюсь из бэкапа......

Вот, проведу миграцию, и буду наводить порядки, и правильно права раздавать. Тогда я полезу на этот же форум, только в другие темы, и искать ответы уже на другие вопросы

Цитата:

Я бы посоветовал Вам поставить ISA там все можно настроить и логи пиет и можно поставить выполнение определнный программ например при запуске RDP у меня так стоит. При обращении к 3389 мне на почту падает поччта с отчетом что было попытка подключения с такого то ip

Мне это нравится. Расскажите поподробней про ISA. Это входит в дистрибутив, или отдельно ставится? Какая версия на сегодняшний день самая новая, и стабильная? Какую версию можно ставить на WIn 2000?

[Butunin Klim]

ISA

[sfap]

Я почитал о возможностях ISA-мне показалось громоздкий продукт. Насколько я понял, это ориентировано для организации прокси с расширенными возможностями, причем причем упор делается для защиты доступа из вне. У меня же ситуация другая: прокся у меня есть отдельная, причем на Linux. А до нее еще стоит роутер, то есть меня сейчас беспокоит не возможность проникновения злоумышленника из вне (хотя и это не исключено), а контроль доступа внутри сети. Я догадываюсь- кто может заниматьсся вредительством, но мне нужны доказательства.....

[Butunin Klim]

Ну тогда включите аудит если не нужен такой продукт.

[sfap]

Аудит неудобен тем, что он показывает слишком много событий, например когда каждый юзер логинится в домене, в итоге журнал превращается в огромную свалку сообщений, найти среди которых одно невзрачное достаточно трудно. Должна же быть какая-то маленькая, но очень полезная утилитка, которая, например отправит сообщение мне на почту в случае попытки доступа по RDP к серверу с IP, который не значится в списке разрешенных....