|
RDS + Windows Firewall
Вложений: 6
Коллеги, привет.
Есть терминальный ферма на WinSrv2016. Задача: ограничить доступ с сервера к определенным ресурсам КСПД. Пример - группа1 имеет доступ к внутреннему web-ресурсу, а группа2 нет. Но при этом группа2 может работать с сетевой шарой, а группа1 нет. Созданы 2 группы AD domain\RDS_WEB_Users - пользователи группы1 domain\RDS_FileServer_Users - пользователи группы2 Решаю задачу с помощь встроенного Firewall, т.к. начиная с 2012 в правилах появилась вкладка Local Principal. Что бы не писать вообще все правила (для DC, служебных серверов и т.д.), делаю следующие:
Правило для web-ресурса http://forum.oszone.net/attachment.p...1&d=1515613419 http://forum.oszone.net/attachment.p...1&d=1515613662 Работает отлично: группа1 заходит на web-ресурс, а для группы2 ресурс не доступен – в логах видно, что соединение дропается, telnet на сервер по 443 не проходит. А вот с правилом на файловый сервер беда… http://forum.oszone.net/attachment.p...1&d=1515613806 http://forum.oszone.net/attachment.p...1&d=1515613806 Но при переходе в шару ошибка http://forum.oszone.net/attachment.p...1&d=1515613915 , а telnet на 445 проходит. В логе firewall http://forum.oszone.net/attachment.p...1&d=1515613915 Это очень странно. Получается под одним и тем же пользователем, firewall блокирует при переходе на шару , но не блокирует telnet. , а по правилу пользователь должен был попасть в шару. Проблема только при настройке правил на файловый ресурс. Кроме web и шары, настроены правила на RDS, клиент-серверные приложения, все ок- если пользователь не в группе, telnet не проходит, ресурс не доступен, если в группе , то и telnet ok и ресурс доступен. Пробовал настроить без привязки к протоколу и порту (any-any), результат тот же. Кто-то встречался с похожей проблемой? Плиз хелп |
кейс запутанный получился
MS дали понять ,что Firewall SMB трафик разграничить по группам не может. На сервер\пк пожалуйста, а исключения на группы пользователей нет. тему закрываю |
| Время: 14:29. |
Время: 14:29.
© OSzone.net 2001-