Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Доступ к сетевой папке не из домена (http://forum.oszone.net/showthread.php?t=347795)

vfilatov87 29-01-2021 10:50 2947903
Доступ к сетевой папке не из домена
 
Здравствуйте!
Прошу помочь по следующему вопросу.
Ситуация следующая:
имеем доменная сеть, Windows Server 2008 R2 и сеть вне домена. В доменной сети есть расшаренная папка. Из сети вне домена имеется доступ к папке в домене по учетной записи домена. В сети вне домена 10 ПК.
Доступ необходим только 4 пользователям.
Необходимо ограничить количество подключений к папке от имени пользователя!

Допустим есть учетка Петр Иванов - pivanov
Сам Петр уже подключился к папке.
Но вот второе подключение с этими же учетными данными с другого ПК должно быть запрещено.

Запрет должен быть именно по учетке!

Ageron 29-01-2021 15:22 2947922
Цитата:
Цитата vfilatov87
Но вот второе подключение с этими же учетными данными с другого ПК должно быть запрещено.
Запрет должен быть именно по учетке! »
так не получится.
как вы будете определять, какое из подключений под одним и темже пользователем, правильное?

vfilatov87 29-01-2021 15:27 2947923
Цитата:
как вы будете определять, какое из подключений под одним и темже пользователем, правильное?
По времени, какое подлкючение старее, то и правильное

Iska 29-01-2021 22:30 2947946
vfilatov87, насколько я понимаю, такое не реализуемо в принципе в существующем протоколе.

Просто разъясните пользователям, что делиться друг с другом данными своих учётных записей — нельзя.

paranoya 30-01-2021 15:15 2948018
Теоретически, можно на журнал безопасности создать скрипт, который отрабатывает по коду события авторизации. В самом скрипте проверять какое это подключение за определённый промежуток времени. Если первое, то вносить в некий файл информацию об IP-адресе подключения. Если это подключение, которое превышает лимит, то дропать его, к примеру, через динамически изменяемое правило в брандмауэре, либо закрывать через команду powershell.
Но правильнее раздать каждому юзеру свои логин/пароль. Если, конечно, все эти ограничения преследуют не озвученную цель, достижение которой можно было сделать другим путём, а не этим ограничением количества подключений.

vfilatov87 02-02-2021 09:38 2948430
paranoya, Неозвученная цель:
Есть программа Консультант Плюс, лицензии у неё конкурентные. Лицензий мало. Пользователей много.
Входа по логину/паролю у программы нет. Каких-то пулов лицензий тоже.

Запускается Консультант из расшаренной папки. Если пользователей в домене я могу ограничить политиками,
то вот как поступить с пользователями, которые не в домене?

Поэтому я обратился с таким неординарным вопросом.

paranoya 02-02-2021 10:08 2948436
  • Завести каждому пользователю учётку в AD и пусть под ней они подключаются, вне зависимости от того, в домене компьютер или нет.
  • Сделать группу безопасности, в которую включить всех пользователей, которым нужен доступ к Консультанту.
  • Выдать этой группе права на чтение из папки с Консультантом.
  • Дальше курить бамбук и всем, кто превышает квоту подключения к Консультанту, а не к серверу, предлагать пробежаться по отделам и попросить кого-нибудь закрыть Консультант. Или пусть пишут бумажку руководству на увеличение количества лицензий.

PS. Если мне не изменяет память, то Консультант все подключения пишет себе в какой-то файл. Можно попробовать поиграть с этим файлом, как с его правами, так и с содержимым.

vfilatov87 02-02-2021 11:06 2948441
paranoya, мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет.

Но хотелось бы услышать ваше мнение по этому поводу?

Busla 02-02-2021 11:29 2948443
Цитата:
Цитата vfilatov87
Неозвученная цель:
Есть программа Консультант Плюс, лицензии у неё конкурентные. Лицензий мало. Пользователей много. »
и?
цель так и не озвучена

Новые пользователи выкидывают старых, а вы хотите наоборот? - чтобы отклоняло новые подключения?
Или о чём речь?

paranoya 02-02-2021 12:03 2948451
Цитата:
Цитата vfilatov87
мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет. »
Неважно каким образом юзер запускает Консультант, последний все подключения пишет в свой файл. Я не помню точно, пишет он IP-адрес или нет, а вот логин юзера туда записывается.
Если RDP-подключение для одного юзера будет использоваться разными людьми с разных компьютеров, то вариантов два: первый - каждый новое подключение через RDP будет выбивать предыдущее, вариант два - новые подключение под тем же юзером просто не будут подключаться.
И в том, и в другом случае всё бессмысленно, ибо не будет четырёх подключенных пользователей Иванов, а будет только один.
Кроме этого, для RDP-подключений нужно поднимать сервер терминалов и покупать лицензии для четырёх людей, а это около 9 тыс. рублей на одного человека. Что возможно может сравниться со стоимостью увеличения количества лицензий для Консультанта.
Мало того, вариант с RDP ничем не лучше варианта заведения учёток в AD для каждого недоменного пользователя Консультанта, а даже хуже, исходя из затрат денег и времени.

Iska 02-02-2021 14:23 2948474
paranoya, в конфигурационный файл для каждой из баз пишутся имена пользователей, которым разрешено подключение к базе. Как правило, «ручками».

vfilatov87 03-02-2021 08:30 2948568
Iska, а можно подробнее?

Iska 03-02-2021 23:22 2948720
vfilatov87, навряд ли — давно уже нет под рукой. Смотрите руководство администратора или обратитесь к поставщику.

vfilatov87 04-02-2021 13:43 2948773
Всем спасибо!
Тему можно закрывать


Время: 13:31.

Время: 13:31.
© OSzone.net 2001-