Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Active Directory: ограничить доступ к IP-адресу (http://forum.oszone.net/showthread.php?t=337515)

kirillius 01-11-2018 14:58 2838907
Active Directory: ограничить доступ к IP-адресу
 
Здравствуйте.

Имеется сетевой принтер, в настройках которого указан его IP-адрес. Необходимо оставить доступ к этому принтеру только выбранным пользователям домена.
На данный момент, зная IP-адрес, к принтеру может подключиться любой пользователь. Идея в том, чтобы в AD запретить любое подключение по данному IP всем пользователям домена, кроме выбранных.

Подскажите, можно ли такое сделать и как?

Angry Demon 01-11-2018 15:42 2838918
Цитата:
Цитата kirillius
к принтеру может подключиться любой пользователь
Если это действительно пользователь, не имеющий административных привилегий на рабочей станции, то он всё равно не сможет печатать, т.к. для установки драйвера требуются административные привилегии.
А если он имеет административные привилегии, то смысл в AD?

Кроме того, у принтеров уровня предприятия обычно есть списки контроля доступа (ACL), позволяющие указать адреса IPv4 в сети, имеющие доступ к устройству.

paranoya 01-11-2018 15:48 2838920
Через AD:
  1. Создать политику и прилинковать её к OU с юзерами.
  2. В политике настроить правила встроенного фаерволла о запрете любого общения с нужным IP.
  3. Проверить.
  4. Исправить и доработать, если с первого не заработало.
Через принтер:
  1. Если в принтере есть функция запрета по IP, то запретить, если черный список или разрешить нужные, если белый список.
Через правильно:
  1. Принтер выделить в отдельный VLAN.
  2. На сервере поднять роль принт-сервера.
  3. Дать доступ в принтерный VLAN принт-серверу.
  4. Наслаждаться.

В случае с AD или Принтер, можно подключиться к принтеру с не доменного ПК, просто задав правильный IP.
Если используется DHCP, то через принтер - не вариант.

В случае через правильно, только после проставы сисадмину. :)

kirillius 01-11-2018 16:04 2838925
Цитата:
Цитата Angry Demon
позволяющие указать адреса IPv4 »
Возможно так сделать можно, но IP присваиваются по DHCP. Ничего им не помешает в какой-то момент поменяться. Вот если б можно было имена компьютеров там прописать...

Цитата:
Цитата Angry Demon
Если это действительно пользователь, не имеющий административных привилегий на рабочей станции, то он всё равно не сможет печатать, т.к. для установки драйвера требуются административные привилегии »
Действительно пользователи, административных прав нету, но драйвера ставят (подходят те, что уже имеются в составе Windows - принтер Konica Minolta).

paranoya, спасибо. Попробую.

paranoya 02-11-2018 10:10 2839064
kirillius, В случае с ГП на фаерволле у меня косяк в тексте выше - настройки фаерволла делаются в разделе "Компьютер" и линковка к OU с юзерами ничего не даст. Нужно её линковать к OU с компьютерами и выделять нужные компьютеры либо в отдельное OU, либо в фильтрации ГП указать группу безопасности с доверенными компьютерами. В этом случае, если юзеры не перемещаются между компьютерами, ГП будет отрабатывать нормально.
Ели же юзеры могут работать с разных мест, то нужно будет в фильтрацию вместо группы доверенных компьютеров внести группу доверенных юзеров, а в политике установить режим "замыкания на себя". После чего проверить как она работает на нужных и не нужных юзерах. так как сдаётся мне, что придётся делать ещё одну ГП, которая будет правило запрета отключать для нужных юзеров.


Время: 14:33.

Время: 14:33.
© OSzone.net 2001-