none
Authenticated Users/Usuarios Autenticados RRS feed

  • Pergunta

  • Bom Dia Amigos,

    Hj venho com uma Preocupação e espero q consiga esclarecer a duvida:

    1- gostaria de explorar no maximo meu servidor 2003 r2 (*com o AD), no controlo de accesso a usuarios nao autorizados, nao ficheiros e a internet?

    2- sei q tem um grupo Authenticated Users, como usala para so dar acesso ao meus usuaruis registados no mesu servido , para terem accesso aos ficheiros q tao no server e internet, e se alguem com seu laptop pessoal ligar a rede , não ter acceso a net mesmo q saiba deos Ips da rede (como a rage, o gateway...|)

    QUEM ESTARIA DISPOSTO A AJUDAR A IMPLEMENTARMOS ATE AO FUNDO ESTA IDEIA DE SEGURANCA DA MINHA REDE

    NOTA: USO DHCP NA MINHA REDE


    Regards, Stanley

    sábado, 14 de setembro de 2013 09:10

Respostas

  • Disposto a ajudar com dúvidas sempre estamos, tentar dar um redirecionamento, mas caso fosse algo mais completo, aí seria cobrado consultoria. 

    Mas te dou a dica de criar o AD,  uma Unidade Organizacional (OU), uma conta para cada usuário, adicionar todas as máquinas no domínio criado. E a partir disso você já pode ter controle e criar regras por GPO para os usuários. Pode também deixar como usuários avançados, mas não deixar instalar software sem permissão. 

    Sobre permissão de pasta você precisa comprar de preferência um outro HD e mapear eles para o usuário por GPO mesmo. Pode manter uma pasta redirecionada para eles, ou pode definir na mão esse caminho e mapear a pasta de cada usuário atribuindo uma letra padrão. E dar permissão de acesso nas pastas. Pode definir que cada usuário só tem acesso a pasta própria e não conseguir acesso por outros meio entrar no compartilhamento.

    Para o caso da internet você poderia bloquear por MAC caso realmente não queira que acessem. No caso do DHCP da pra fazer um monte de coisa, se for laptop de uso particular você tem que fazer por MAC mesmo, pois a pessoa poderia colocar IP estático e conectar na rede. Então bloqueando os usuários de trocar IP já não acessa a internet (no caso tirar o Gateway).

    Do mais é pesquisar bastante o que você quer implantar, ler o procedimento de como fazer. Esses passo está lotado na internet, caso tiver alguma dúvida podemos postar links, vídeos, tutoriais para ajudar, mas precisa saber especificamente o que você quer fazer primeiro. Faça uma lista, anote como você vai começar, quantas máquinas tem. Espero que ajude

    __________________________

    André Novello

    MCTS Server Virtualization

    • Marcado como Resposta S2009 segunda-feira, 16 de setembro de 2013 07:03
    sábado, 14 de setembro de 2013 12:29
  • Olá Stanley,

    Vamos aguardar os comentários dos demais colegas da comunidade, mas creio eu que para fazer o que você deseja apenas utilizando o seu 2003 server não será possível. Para atingir seu objetivo você precisa instalar/configurar o Network Policy and Access Services (solução de diretivas de rede), inserido a partir do Windows Server 2008.

    Outra opção seria configurar um proxy com autenticação!

    Att,

    • Marcado como Resposta S2009 segunda-feira, 16 de setembro de 2013 07:56
    segunda-feira, 16 de setembro de 2013 07:51
  • Bom, como o Nicolas te disse, e eu iria sugerir caso você não aceitasse o primeiro passo, seria o NPS que controla justamente isso, só que é maisss um serviço rodando na sua rede, mas com certeza vai te  ajudar.
    • Marcado como Resposta S2009 terça-feira, 17 de setembro de 2013 09:09
    segunda-feira, 16 de setembro de 2013 17:37
  • O que eu diria pra você seria desabilitar o dhcp do roteador, criar um Dhcp, bloquear acesso ao cmd e a conexoes de rede pra pessoa não ver o ip que pegou, pois ai ele não saberá nem qual IP por estático, e alterar o Gateway, pois normalmente é 192.168.0.1 ou .1.1
    • Marcado como Resposta S2009 terça-feira, 17 de setembro de 2013 12:20
    terça-feira, 17 de setembro de 2013 10:51
  • Você disse que ia fazer em Server 2003 R2, então você tem um Server 2012 mesmo, pra confirmar?? Aí sim é possível, deve ser bem melhor que no 2008 R2 o NPS, mas precisaria estudar, ver tutoriais de alguém que já utilizou/implantou.

    Mas pra bloquear lá de uma olhada nessa parte lá no gpedit, lá tem os proibir acesso... 

    - Configurações de usuário / Diretivas / Modelos Administrativos / Rede / Conexões de Rede.

    Primeiro leia sobre o NPS - http://technet.microsoft.com/pt-br/library/hh831652.aspx - Depois instale e comece a brincar, verificar método de autenticação essas coisas.

    Tem esse tutorial também http://www.sysadmintutorials.com/tutorials/microsoft/windows-2008-r2/how-to-install-and-configure-network-policy-server-nps/

    Você pode bloquear qualquer outra máquina que não se Autentique na rede, sendo assim obrigatório e forçando usuário a logar para poder usar rede e até ganhar um IP,  tem que verificar isso.

    • Marcado como Resposta S2009 sexta-feira, 20 de setembro de 2013 11:46
    terça-feira, 17 de setembro de 2013 15:02
  • Ainda bem que ajudou. Mas não precisa desse Cisco não, é só um exemplo do cara de como fazer caso você precisa-se autenticar usuário de fora via VPN para dentro da sua rede.

    E ali ele explica assim pelo que entendi: Que você tem que configurar um dispositivo que vai repassar a autenticação para o NPS dos seus usuários na rede. No caso ele diz o IP desse dispositivo ou DNS. Acredito que o seu DNS, no caso sendo servidor AD também. Então coloque ali o IP do seu DNS. Do dns ele enviará para seu NPS, mesmo que venha via VPN ou outro. E invente uma senha. Não sei onde seria usada esta senha, aonde ela seria pedida, precisa ler sobre.

    __________________________

    André Novello - Blog

    MCTS Server Virtualization

    • Marcado como Resposta S2009 sexta-feira, 20 de setembro de 2013 13:29
    sexta-feira, 20 de setembro de 2013 12:20

Todas as Respostas

  • Disposto a ajudar com dúvidas sempre estamos, tentar dar um redirecionamento, mas caso fosse algo mais completo, aí seria cobrado consultoria. 

    Mas te dou a dica de criar o AD,  uma Unidade Organizacional (OU), uma conta para cada usuário, adicionar todas as máquinas no domínio criado. E a partir disso você já pode ter controle e criar regras por GPO para os usuários. Pode também deixar como usuários avançados, mas não deixar instalar software sem permissão. 

    Sobre permissão de pasta você precisa comprar de preferência um outro HD e mapear eles para o usuário por GPO mesmo. Pode manter uma pasta redirecionada para eles, ou pode definir na mão esse caminho e mapear a pasta de cada usuário atribuindo uma letra padrão. E dar permissão de acesso nas pastas. Pode definir que cada usuário só tem acesso a pasta própria e não conseguir acesso por outros meio entrar no compartilhamento.

    Para o caso da internet você poderia bloquear por MAC caso realmente não queira que acessem. No caso do DHCP da pra fazer um monte de coisa, se for laptop de uso particular você tem que fazer por MAC mesmo, pois a pessoa poderia colocar IP estático e conectar na rede. Então bloqueando os usuários de trocar IP já não acessa a internet (no caso tirar o Gateway).

    Do mais é pesquisar bastante o que você quer implantar, ler o procedimento de como fazer. Esses passo está lotado na internet, caso tiver alguma dúvida podemos postar links, vídeos, tutoriais para ajudar, mas precisa saber especificamente o que você quer fazer primeiro. Faça uma lista, anote como você vai começar, quantas máquinas tem. Espero que ajude

    __________________________

    André Novello

    MCTS Server Virtualization

    • Marcado como Resposta S2009 segunda-feira, 16 de setembro de 2013 07:03
    sábado, 14 de setembro de 2013 12:29
  • Andre Muito obrigado, mas vamos ao concreto.

    1-Eu ja tenho o meu servidor montado (dominio), as estacoes connectadas a ela, utilzadores ja tao criadas e cada um com a sua pasta mapeada (no home folder), todoas tem accesso a net

    ate aqui não tenho problemas.

    2-o que eu quero é, quando alguem (que nem um intruso) traga um laptop pessoal, e pegue num dos meus cabos de rede e ligue no seu laptop, e não tenha accesso a net, mesmo que ele apnhe os Ips por dhcp

    Algo que nem, ter de autenticar primeiro no servidor para depois ter accesso a net.

    Espero que tenha sido claro

     


    Regards, Stanley

    segunda-feira, 16 de setembro de 2013 07:08
  • Olá Stanley,

    Vamos aguardar os comentários dos demais colegas da comunidade, mas creio eu que para fazer o que você deseja apenas utilizando o seu 2003 server não será possível. Para atingir seu objetivo você precisa instalar/configurar o Network Policy and Access Services (solução de diretivas de rede), inserido a partir do Windows Server 2008.

    Outra opção seria configurar um proxy com autenticação!

    Att,

    • Marcado como Resposta S2009 segunda-feira, 16 de setembro de 2013 07:56
    segunda-feira, 16 de setembro de 2013 07:51
  • Ok Vamos Agurdar!


    Regards, Stanley

    segunda-feira, 16 de setembro de 2013 07:57
  • Bom, como o Nicolas te disse, e eu iria sugerir caso você não aceitasse o primeiro passo, seria o NPS que controla justamente isso, só que é maisss um serviço rodando na sua rede, mas com certeza vai te  ajudar.
    • Marcado como Resposta S2009 terça-feira, 17 de setembro de 2013 09:09
    segunda-feira, 16 de setembro de 2013 17:37
  • Brigado Andre,

    Assindo Podem comecar a ajudar a implantar o NPS?

    S


    Regards, Stanley

    terça-feira, 17 de setembro de 2013 09:04
  • O que eu diria pra você seria desabilitar o dhcp do roteador, criar um Dhcp, bloquear acesso ao cmd e a conexoes de rede pra pessoa não ver o ip que pegou, pois ai ele não saberá nem qual IP por estático, e alterar o Gateway, pois normalmente é 192.168.0.1 ou .1.1
    • Marcado como Resposta S2009 terça-feira, 17 de setembro de 2013 12:20
    terça-feira, 17 de setembro de 2013 10:51
  • Thanks pela resposta.

    esta ideia ate que ja tinha pensado nela, e é uma saida, mas queria algo mais (Pesado) que mesmo q ele descobrisse nao teria como aceder a net, sem que passasse por uma autenticação.

    Acho que se não houver mesmo vou trabalhar com esta ideia

    S


    Regards, Stanley

    terça-feira, 17 de setembro de 2013 12:23
  • Andre, to encontrando uma dificuldade, ja fiz buscas e nao encontro a solução:

    tenho um Win server 2012, e as estacoes tem win 7,

    Pela GPO ja bloquiei o cmd, o run., mas o STATUS DA PLACA DE REDE ONDE PODES VER OS IP ELA NÃO BLOQUEIA SOMENTE AS PROPRIEDADS ELA ACEITA, QUAL É O OPCAO PARA QUE BLOQUEIE O NETWORK SHARING CENTER ??? OU ALGO SIMILAR PARA Q NAO TENHA ACCESSO AOS IPS?

    S


    Regards, Stanley

    terça-feira, 17 de setembro de 2013 13:38
  • Você disse que ia fazer em Server 2003 R2, então você tem um Server 2012 mesmo, pra confirmar?? Aí sim é possível, deve ser bem melhor que no 2008 R2 o NPS, mas precisaria estudar, ver tutoriais de alguém que já utilizou/implantou.

    Mas pra bloquear lá de uma olhada nessa parte lá no gpedit, lá tem os proibir acesso... 

    - Configurações de usuário / Diretivas / Modelos Administrativos / Rede / Conexões de Rede.

    Primeiro leia sobre o NPS - http://technet.microsoft.com/pt-br/library/hh831652.aspx - Depois instale e comece a brincar, verificar método de autenticação essas coisas.

    Tem esse tutorial também http://www.sysadmintutorials.com/tutorials/microsoft/windows-2008-r2/how-to-install-and-configure-network-policy-server-nps/

    Você pode bloquear qualquer outra máquina que não se Autentique na rede, sendo assim obrigatório e forçando usuário a logar para poder usar rede e até ganhar um IP,  tem que verificar isso.

    • Marcado como Resposta S2009 sexta-feira, 20 de setembro de 2013 11:46
    terça-feira, 17 de setembro de 2013 15:02
  • Viva andre,

    Li atentamente este linky::http://www.sysadmintutorials.com/tutorials/microsoft/windows-2008-r2/how-to-install-and-configure-network-policy-server-nps/::

    e ta muito claro, o que não etendi é ::Cisco ASA Firewall..:::, sera que é obrigatorio eu ter um firewall???da cisco?

    e mesmo na explicação vem num passo o seguinte:

    ////10. Give the Client a friendly name, enter in the IP address of the device from which the authentication request will be coming and lastly enter in the shared secret and click Ok. The shares secret must be the same on your Network Policy Server and the RADIUS Client device./// se eu não teiver um firewall qual o device qu aponto (IP)???

    s

    Regards, Stanley

    sexta-feira, 20 de setembro de 2013 11:49
  • Ainda bem que ajudou. Mas não precisa desse Cisco não, é só um exemplo do cara de como fazer caso você precisa-se autenticar usuário de fora via VPN para dentro da sua rede.

    E ali ele explica assim pelo que entendi: Que você tem que configurar um dispositivo que vai repassar a autenticação para o NPS dos seus usuários na rede. No caso ele diz o IP desse dispositivo ou DNS. Acredito que o seu DNS, no caso sendo servidor AD também. Então coloque ali o IP do seu DNS. Do dns ele enviará para seu NPS, mesmo que venha via VPN ou outro. E invente uma senha. Não sei onde seria usada esta senha, aonde ela seria pedida, precisa ler sobre.

    __________________________

    André Novello - Blog

    MCTS Server Virtualization

    • Marcado como Resposta S2009 sexta-feira, 20 de setembro de 2013 13:29
    sexta-feira, 20 de setembro de 2013 12:20
  • Ok etendido, deixa me agora implementar, e retorno com os resultados.

    S


    Regards, Stanley

    sexta-feira, 20 de setembro de 2013 13:29