|
Доступ к доменным общим папкам из "недоменнных" компьютеров
Добрый день.
Есть сеть на server 2008 с поднятым AD. Есть в домене примерно сотня компов и полсотни пользователей. У каждого пользователя есть как личная папка на сервере (с полным доступом), так и доступ к нескольким общим папкам (чаще всего "только для чтения"). Кроме того развернут WiFi. Эти же пользователи имеют право приносить свои ноутбуки и коннектиться с ним по Wi-Fi к серверу. Соответственно, в свои папки они могут записать что-угодно (игрушки, например), используя свои доменные учётные данные. Требуется разрешить доступ с недоменных компов (ноутов) к этим общим папкам, но ограничить его "только для чтения". Т.е. доступ должен даваться не по доменному имени пользователя, а по связке "имя пользователя + принадлежность компа к домену". Привязать имя пользователя к доменному имени компа не получится: любой пользователь должен иметь возможность входа с любой машины. NAP и NPS в данном случае, как я понял, тоже не проходят? |
Я не вижу, как можно выполнить поставленную задачу. Меняйте постановку задачи.
|
я вообще не понял ситуации.
- есть домен - есть компьютеры в домене и пользователи в домене - есть ноутбуки не в домене и пользователи не в домене вы хотите дать доступ пользователям ноутбуков к ресурсам в домене? или что? Ибо фраза: Цитата:
или вы хотите запретить вход доменных пользователей с недоменных компьютеров? |
Цитата:
|
Цитата:
exo, не совсем. Пользователь недоменного ноутбука может получить доступ к расшаренному ресурсу зная свои доменное имя и пароль. Грубо говоря, включает человек свой домашний ноут, коннектится к сети (wi-fi), нажимает win+r, вводит, скажем, \\fileserver\vasya_pupkin_folder, затем указывает при подключении свои доменные имя и пароль и получает полный доступ к этой своей папке. А требуется, чтобы в данном случае он получил доступ "read only", поскольку вошел с машины, не входящей в домен. Поясню, для чего это надо. Сеть принадлежит учебному заведению, пользователями являются студенты, и очень часто им надо забирать домой свои незавершённые проекты для доработки. А вот приносить они ничего не должны. |
gofur, ваша задача неосуществима с такими условиями.
|
Angry Demon, а что можно подкорректировать в условии, чтобы осуществить задачу?
|
Цитата:
gofur, есть один вариант, но это пока в теории. на практике первую часть не делал. 1) как-то закрываем доступ к серверу с недоменных компов: а - Например, если в NPS указать вроде "недоменные компы не имеют доступа к серверу по протоколу SMB". Но я не знаю, можно ли там такое сделать. А может это даже глупость. б - в DHCP назначить резерв с МАС адресами для ноутов. На сервере в фаерволе блокировать данные адреса по порту SMB протокола 445. Но пользователи смогут менять IP на ноутах. в - купить роутер с WiFi, настроить в режиме NAT. Использовать только для ноутов. В фаерволе сервера блокировать 445 порт с внешнего адреса роутера. Но если пользователи провода от компов перетыкают, не поможет. 2) устанавливаем на сервер IIS, и публикуем личные папки в веб. И доступ на чтение у них будет. IIS только настроить нужно будет правильно. ну вообщем, какая-то такая идея. Ну или если деньги позволяют, может в Share Point есть нужный функционал. |
Цитата:
|
То, что вы хотите, является четвёртым методом аутентификации "где ты". Windows Shares такой метод аутентификации не поддерживают, поэтому и говорю, что задача решения не имеет. Сторонние приложения, думаю, тоже не помогут.
|
WindowsNT, smb на Linux?
|
ч0?
|
WindowsNT, предполагаю, что вопрос из-за созвучия SMB & S.A.M.B.A )
|
exo, да, спасибо за уточнение
|
gofur, так а что вы имели ввиду? SMB или SAMBA ? если вы про мой вариант, то в чём вопрос про SMB ?
Если у вас ни разу в теме не прозвучало ничего о Linux, то почему вы вдруг о нём спросили? |
exo, именно SAMBA. Я пытаюсь найти иные способы решения задачи. Вот и подумал, что, может, стоит попробовать поднять на виртуальной машине linux, и разместить эти личные папки там? Если, конечно, возможно настроить доступ тем самым четвёртым метод аутентификации "где ты"?
|
Цитата:
Но только подумайте - оно надо пользователям по две учётки иметь? Возможно SAMBA работает с АД, но... Это вам в раздел для Linux нужен. А чем вас не устраивает через IIS ? Возможно, можно настроить и через FTP. и не потребуется 4-ая аутентификация. |
exo, полностью запретить подключение недоменных машин к серверу не получится, т.к. на сервере крутится локальный сайт на апаче с прикрученной к нему библиотекой (набором книжек)
|
Цитата:
Кстати, если там уже есть апач - то можно общие папки и через него опубликовать, ибо как апач и ИИС вместе - я не знаю... |
exo, а привязать к апачу ту же доменную авторизацию? ведь доступ "read only" к каждой папке должен быть только у её владельца в домене?
|
Цитата:
|
exo, сейчас пользователь имеет полный доступ к расшаренной своей папке, и не имеет никакого доступа к остальным шарам. это ограничено параметрами безопасности. запрет доступа к чужим папкам надо будет оставить.
|
Цитата:
|
exo, ок, спасибо... буду колупать в направлении запрета в NPS и доступа в IIS.
|
gofur, я сейчас попробую что-нить изобразить на виртуалке. но без апача. возможно, для ИИС + апач нужно будет порты настраивать.
|
Цитата:
|
Цитата:
пока ждите. не могу закончить тест до конца. есть кое-какие моменты. Но я думаю, что с FTP на чтение их не будет. если я не найду решения... |
| Время: 19:08. |
Время: 19:08.
© OSzone.net 2001-