Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Запрет на запись в сетевые ресурсы из WinServ2008R2 (http://forum.oszone.net/showthread.php?t=222709)

Feonik 12-12-2011 13:50 1813735
Запрет на запись в сетевые ресурсы из WinServ2008R2
 
Есть Windows Server 2008 R2 с ролью Служб удаленных рабочих столов (Сервер терминалов). С него есть доступ в разные сетевые папки на других серверах и на диски пользователей, подключенных по RDP, через \\tsclient.

На сервере нужно запретить запись данных в сеть, чтобы не было утечки информации. При том читать из сети возможность нужно оставить. Запрет на запись в сеть должен быть независимым от настроек тех серверов, на которые пытаются записать.

То есть если человек пытается записать что-то в папку на удаленном сервере

\\server_smb\share\
или
\\tsclient\d

то должна сработать блокировка на нашем сервере, с которого пытаются осуществить запись.

Если с тех же папок пытаются что-то прочесть, то должно быть все как обычно. Конечно, если на удаленном сервере есть разрешения.

Знает ли кто решение этой проблемы?

MaleyDarc 12-12-2011 14:52 1813762
Конечно есть решение.
Два разных логина на одного пользователя. Один для обычной работы, второй для RDP. Права раздать соответственно.

Feonik 12-12-2011 15:51 1813796
Проблема в том, что пользователи подключаются к серверу только по RDP. То есть сейчас у пользователя есть возможность читать и писать в папки типа

\\server_smb\share\
и
\\tsclient\d

Нужно оставить только чтение с этих папок. Причем независимо от настроек на удаленной стороне. Если на той стороне разрешена запись, то у нас должна сработать блокировка на запись в такие папки.

Denis Dyagilev 12-12-2011 16:53 1813832
Для чего в таком случае вообще разрешать пользователям маппировать локальные диски в терминальную сессию?

Feonik 12-12-2011 17:25 1813854
Чтобы с них можно было что-то прочитать. А вообще это к руководству - зачем :) Поставили задачу, вот и ищу решение.

DmitriiV 13-12-2011 14:18 1814353
Цитата:
Цитата Feonik
Нужно оставить только чтение с этих папок. Причем независимо от настроек на удаленной стороне. »
Ну, независимо, вероятнее всего, не получится.
Решение, которое видится, заключается в том, чтобы тем или иным способом (сценарием, например) изменять SMB-разрешения соответствующих ресурсов при начале/завершении сеанса.
Суть изменения - добавлять в ACL/удалять из ACL запись типа ЗАПРЕТ (ACCESS_DENIED_ACE_TYPE) с маской доступа 0x40000000 (GENERIC_WRITE) для конкретного пользователя (группы пользователей).

Feonik 13-12-2011 14:38 1814366
Цитата:
Цитата DmitriiV
Решение, которое видится »
Благодарю, есть о чем подумать, жаль, что без независимости. Но это в отношении "обычных" сетевых шар и, как я понял, только на основе NTFS под Windows. Для Samba надо как-то иначе, но похоже, что-то подобное, раз уже не независимо.

А как быть в отношении RDP-дисков? Особенно если человек подключается с Win98 или Linux, где нет NTFS-разрешений?

Denis Dyagilev 13-12-2011 14:43 1814375
Маппирование дисков в RDP сессию легко запрещается политиками терминального сервера.

Feonik 13-12-2011 14:58 1814387
Цитата:
Цитата Denis Dyagilev
Маппирование дисков в RDP сессию легко запрещается политиками терминального сервера. »
Это если совсем закрыть доступ. А как оставить только для чтения?

DmitriiV 13-12-2011 15:01 1814392
Речь шла хотя и о Windows, но вовсе не о безопасности NTFS, а именно о разрешениях на доступ к общему ресурсу.
Про Win98 и *nix - ничего не скажу (первое давно забыто, со вторым не работаем).
В любом случае данный метод годится только в том случае, когда управление доступом предполагает и разрешающие, и запрещающие записи с преобладанием приоритета запрета над разрешением.


Время: 14:37.

Время: 14:37.
© OSzone.net 2001-