Ограничить доступ к файловой шаре для региональных пользователей

Dirk Diggler · Отправлено: **22:58, 24-06-2008** | #2

топологию сети обрисуйте

Цитата Nerian:

Кстате.. В принципе есть второй домен контролер. И было бы чудно если бы я смог заставить сеть 192.168.100.0 (региональную) использовать его. »

а в чем проблема? используйте

Nerian · Отправлено: **23:46, 24-06-2008** | #3

Топология сети к примеру такая:

192.168.1.0/24 -> серверное оборудование в москве
192.168.2.0/24 -> пользователи в москве
192.168.3.0/24 -> пользователи в москве
192.168.100.0/24 -> пользователи питер
192.168.101.0/24 -> пользователи екатеренбург

В москве находяться к примеру следующие сервера:

192.168.1.2 - dc01 (контролер1, он же файловая шара)
192.168.1.3 - dc02 (контролер2, резервный)
192.168.1.4 - ts01 (терминальный сервер)

У пользователей в москве - десктопы, которые полноценно используют файловую шару на прямую
У пользователей в питербурке и екатеренбурге терминальные клиенты через которые они используют файловую шару
а так же... есть несколько десктопов, к примеру для локального сканирования.

Задача: запретить региональным пользователям с десктопов обрашаться к файловой шаре на dc01, при этом оставив возможность использовать GPO (sysvol, netlogon)

Вот. В краце топология.

HLT · Отправлено: **09:16, 25-06-2008** | #4

Всех региональных пользователей - в отдельную группу, например Regional Users
Этой группе - deny на шару

Nerian · Отправлено: **10:37, 25-06-2008** | #5

Не подходит по ряду причин:

1. У них одинаковый логин что на терминале, что на общих десктопах. (поэтому при запрете группе, мы запретим им доступ из терминала тоже)
2. Во вторых - случаются случае когда сотрудники из москвы приезжают к сотрудникам в регион с ноутбуками - и у них тоже не должно быть доступа к шаре, он должен быть только через терминал.

Какие ещё будут идеи?

madmax24 · Отправлено: **10:46, 25-06-2008** | #6

Цитата Nerian:

У них одинаковый логин что на терминале, что на общих десктопах. (поэтому при запрете группе, мы запретим им доступ из терминала тоже) »

У меня и вопрос и предложение: а при логине на терминалку, я полагаю, можно создать ГП, которая открывает права пользователю, при выходе из терминалки - закрывает. Может так подойдет? Правда не представляю насколько это геморойно организовать и насколько глючно это будет отрабатывать.

Nerian · Отправлено: **10:56, 25-06-2008** | #7

Не... Это воопще не вариант... На терминалках то есть свой GP для пользователей в терминальном окружении.

monkkey · Отправлено: **11:37, 25-06-2008** | #8

Цитата Nerian:

он должен быть только через терминал »

Ну, и дайте права доступа только пользователям терминала (если нет ОУ - создайте его)

Nerian · Отправлено: **11:59, 25-06-2008** | #9

К пользователю это дело не привяжешь. т.к. приедит туда москвоский который с ноутбуком тут, и получит теже самые права там, без терминала.

Может можно как нибудь указать что для 192.168.100.0/х и 192.168.101.0/х использовать dc02

artem_ · Отправлено: **15:10, 26-06-2008** | #10

В каждую сетку по bdc - и перекрыть файрволами доступ к файлам и папкам в центральном офисе.
Ну а контроллерам разрешить - понятное дело.