|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Запрет на запись в сетевые ресурсы из WinServ2008R2 |
|
2008 R2 - Запрет на запись в сетевые ресурсы из WinServ2008R2
|
Новый участник Сообщения: 9 |
Профиль | Отправить PM | Цитировать Есть Windows Server 2008 R2 с ролью Служб удаленных рабочих столов (Сервер терминалов). С него есть доступ в разные сетевые папки на других серверах и на диски пользователей, подключенных по RDP, через \\tsclient.
На сервере нужно запретить запись данных в сеть, чтобы не было утечки информации. При том читать из сети возможность нужно оставить. Запрет на запись в сеть должен быть независимым от настроек тех серверов, на которые пытаются записать. То есть если человек пытается записать что-то в папку на удаленном сервере \\server_smb\share\ или \\tsclient\d то должна сработать блокировка на нашем сервере, с которого пытаются осуществить запись. Если с тех же папок пытаются что-то прочесть, то должно быть все как обычно. Конечно, если на удаленном сервере есть разрешения. Знает ли кто решение этой проблемы? |
|
Отправлено: 13:50, 12-12-2011 |
Старожил Сообщения: 254
|
Профиль | Отправить PM | Цитировать Конечно есть решение.
Два разных логина на одного пользователя. Один для обычной работы, второй для RDP. Права раздать соответственно. |
------- Отправлено: 14:52, 12-12-2011 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 9
|
Профиль | Отправить PM | Цитировать Проблема в том, что пользователи подключаются к серверу только по RDP. То есть сейчас у пользователя есть возможность читать и писать в папки типа
\\server_smb\share\ и \\tsclient\d Нужно оставить только чтение с этих папок. Причем независимо от настроек на удаленной стороне. Если на той стороне разрешена запись, то у нас должна сработать блокировка на запись в такие папки. |
Отправлено: 15:51, 12-12-2011 | #3 |
Модератор Сообщения: 967
|
Профиль | Отправить PM | Цитировать Для чего в таком случае вообще разрешать пользователям маппировать локальные диски в терминальную сессию?
|
Отправлено: 16:53, 12-12-2011 | #4 |
Новый участник Сообщения: 9
|
Профиль | Отправить PM | Цитировать Чтобы с них можно было что-то прочитать. А вообще это к руководству - зачем Поставили задачу, вот и ищу решение.
|
|
Отправлено: 17:25, 12-12-2011 | #5 |
Старожил Сообщения: 210
|
Профиль | Отправить PM | Цитировать Цитата Feonik:
Решение, которое видится, заключается в том, чтобы тем или иным способом (сценарием, например) изменять SMB-разрешения соответствующих ресурсов при начале/завершении сеанса. Суть изменения - добавлять в ACL/удалять из ACL запись типа ЗАПРЕТ (ACCESS_DENIED_ACE_TYPE) с маской доступа 0x40000000 (GENERIC_WRITE) для конкретного пользователя (группы пользователей). |
|
Отправлено: 14:18, 13-12-2011 | #6 |
Новый участник Сообщения: 9
|
Профиль | Отправить PM | Цитировать Цитата DmitriiV:
А как быть в отношении RDP-дисков? Особенно если человек подключается с Win98 или Linux, где нет NTFS-разрешений? |
|
Отправлено: 14:38, 13-12-2011 | #7 |
Модератор Сообщения: 967
|
Профиль | Отправить PM | Цитировать Маппирование дисков в RDP сессию легко запрещается политиками терминального сервера.
|
Отправлено: 14:43, 13-12-2011 | #8 |
Новый участник Сообщения: 9
|
Профиль | Отправить PM | Цитировать Цитата Denis Dyagilev:
|
|
Отправлено: 14:58, 13-12-2011 | #9 |
Старожил Сообщения: 210
|
Профиль | Отправить PM | Цитировать Речь шла хотя и о Windows, но вовсе не о безопасности NTFS, а именно о разрешениях на доступ к общему ресурсу.
Про Win98 и *nix - ничего не скажу (первое давно забыто, со вторым не работаем). В любом случае данный метод годится только в том случае, когда управление доступом предполагает и разрешающие, и запрещающие записи с преобладанием приоритета запрета над разрешением. |
Отправлено: 15:01, 13-12-2011 | #10 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Запрет записи файлов на сетевые ресурсы по расширению | Arkan190 | Microsoft Windows NT/2000/2003 | 6 | 20-06-2011 10:58 | |
7 / 2008 R2 - Windows PE и сетевые ресурсы | vfz4 | Автоматическая установка Windows 11 / 10 / 8 / 7 / Vista | 0 | 03-06-2010 00:29 | |
Прочее - Сетевые ресурсы | H1P | Сетевые технологии | 2 | 04-07-2008 16:13 | |
Сетевые ресурсы. | nureke | Microsoft Windows 2000/XP | 1 | 02-07-2007 00:58 | |
Сетевые ресурсы | FastMan | Microsoft Windows 95/98/Me (архив) | 3 | 15-01-2005 17:43 |
|