Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Active Directory: ограничить доступ к IP-адресу

Ответить
Настройки темы
2008 R2 - Active Directory: ограничить доступ к IP-адресу

Пользователь


Сообщения: 136
Благодарности: 1

Профиль | Отправить PM | Цитировать


Здравствуйте.

Имеется сетевой принтер, в настройках которого указан его IP-адрес. Необходимо оставить доступ к этому принтеру только выбранным пользователям домена.
На данный момент, зная IP-адрес, к принтеру может подключиться любой пользователь. Идея в том, чтобы в AD запретить любое подключение по данному IP всем пользователям домена, кроме выбранных.

Подскажите, можно ли такое сделать и как?

Отправлено: 14:58, 01-11-2018

 

Аватара для Angry Demon

Крылатый ужас


Moderator


Сообщения: 26367
Благодарности: 4434

Профиль | Отправить PM | Цитировать


Цитата kirillius:
к принтеру может подключиться любой пользователь
Если это действительно пользователь, не имеющий административных привилегий на рабочей станции, то он всё равно не сможет печатать, т.к. для установки драйвера требуются административные привилегии.
А если он имеет административные привилегии, то смысл в AD?

Кроме того, у принтеров уровня предприятия обычно есть списки контроля доступа (ACL), позволяющие указать адреса IPv4 в сети, имеющие доступ к устройству.

-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра...


Здесь можно скачать драйверы

Сообщение оказалось полезным? Поблагодарите автора, нажав ссылку Полезное сообщение чуть ниже.


Отправлено: 15:42, 01-11-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Через AD:
  1. Создать политику и прилинковать её к OU с юзерами.
  2. В политике настроить правила встроенного фаерволла о запрете любого общения с нужным IP.
  3. Проверить.
  4. Исправить и доработать, если с первого не заработало.
Через принтер:
  1. Если в принтере есть функция запрета по IP, то запретить, если черный список или разрешить нужные, если белый список.
Через правильно:
  1. Принтер выделить в отдельный VLAN.
  2. На сервере поднять роль принт-сервера.
  3. Дать доступ в принтерный VLAN принт-серверу.
  4. Наслаждаться.

В случае с AD или Принтер, можно подключиться к принтеру с не доменного ПК, просто задав правильный IP.
Если используется DHCP, то через принтер - не вариант.

В случае через правильно, только после проставы сисадмину.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Последний раз редактировалось paranoya, 01-11-2018 в 15:52. Причина: Дополнения


Отправлено: 15:48, 01-11-2018 | #3


Пользователь


Сообщения: 136
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата Angry Demon:
позволяющие указать адреса IPv4 »
Возможно так сделать можно, но IP присваиваются по DHCP. Ничего им не помешает в какой-то момент поменяться. Вот если б можно было имена компьютеров там прописать...

Цитата Angry Demon:
Если это действительно пользователь, не имеющий административных привилегий на рабочей станции, то он всё равно не сможет печатать, т.к. для установки драйвера требуются административные привилегии »
Действительно пользователи, административных прав нету, но драйвера ставят (подходят те, что уже имеются в составе Windows - принтер Konica Minolta).

paranoya, спасибо. Попробую.

Отправлено: 16:04, 01-11-2018 | #4


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


kirillius, В случае с ГП на фаерволле у меня косяк в тексте выше - настройки фаерволла делаются в разделе "Компьютер" и линковка к OU с юзерами ничего не даст. Нужно её линковать к OU с компьютерами и выделять нужные компьютеры либо в отдельное OU, либо в фильтрации ГП указать группу безопасности с доверенными компьютерами. В этом случае, если юзеры не перемещаются между компьютерами, ГП будет отрабатывать нормально.
Ели же юзеры могут работать с разных мест, то нужно будет в фильтрацию вместо группы доверенных компьютеров внести группу доверенных юзеров, а в политике установить режим "замыкания на себя". После чего проверить как она работает на нужных и не нужных юзерах. так как сдаётся мне, что придётся делать ещё одну ГП, которая будет правило запрета отключать для нужных юзеров.

-------
Он был расстроенным трупом и потратил две минуты впустую.

Это сообщение посчитали полезным следующие участники:

Отправлено: 10:10, 02-11-2018 | #5



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Active Directory: ограничить доступ к IP-адресу

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Удалённый доступ по IP адресу Sfero_ID Хочу все знать 5 10-01-2010 22:24
2 машины из под 1 IP в Active Directory illznn Microsoft Windows NT/2000/2003 1 13-11-2009 10:08
доступ к Active Directory exo Microsoft Windows NT/2000/2003 3 07-07-2008 10:44
Доступ к удаленному серверу только по IP адресу pantei Сетевые технологии 2 07-09-2005 09:48
доступ к сетевому ресурсу по IP адресу   jeka Сетевые технологии 9 25-08-2003 01:11




 
Переход