none
как разрешить доступ из интернета к серверу терминалов только определенным пользователям? RRS feed

  • Вопрос

  • Здравствуйте!

    Подскажите пожалуйста как сделать следующие:

    Есть предприятие с сервером на котором установлен win 2003 server и поднят сервер терминалов, в основном работают все из локальной сети но есть несколько удаленных офисов которые коннектяться через интернет.

    Возможно ли штатными средствами win 2003 server запретить доступ к терминалу из интернета всем кроме определенных пользователей?

    У удаленных пользователей динамические IP

    Подскажите пожалуйста как решить поставленную задачу.

    Спасибо!

    26 февраля 2012 г. 15:59

Ответы

  • 1. Сдублировать ключ реестра HKLM\System\CurrentControlSet\Control\Terminal Server\WinStation\RDP-Tcp

    2. Внутри сдублированного ключа сменить параметр PortNumber с 3389 на что-нить ещё вроде 3390

    3. Переименовать RDP-Tcp и его копию в нечто более осмысленное вроде RDP-Internal и RDP-External. Теперь у вас имеются два RDP-соединения, слушающих разные порты.

    4. Создайте две группы безопасности Terminal External Users и Terminal Internal Users. Раздайте членство в них согласно требованиям доступа.

    5. Отрегулируйте права доступа к терминальным соединениям (Terminal Services Configuration)

    6. Выставьте 3390 в интернет. Сообщите адрес и порт нужным пользователям.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    26 февраля 2012 г. 19:15
    Отвечающий

Все ответы

  • 1. Сдублировать ключ реестра HKLM\System\CurrentControlSet\Control\Terminal Server\WinStation\RDP-Tcp

    2. Внутри сдублированного ключа сменить параметр PortNumber с 3389 на что-нить ещё вроде 3390

    3. Переименовать RDP-Tcp и его копию в нечто более осмысленное вроде RDP-Internal и RDP-External. Теперь у вас имеются два RDP-соединения, слушающих разные порты.

    4. Создайте две группы безопасности Terminal External Users и Terminal Internal Users. Раздайте членство в них согласно требованиям доступа.

    5. Отрегулируйте права доступа к терминальным соединениям (Terminal Services Configuration)

    6. Выставьте 3390 в интернет. Сообщите адрес и порт нужным пользователям.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    26 февраля 2012 г. 19:15
    Отвечающий
  • СПАСИБО!!!

    На днях только сумел по пробовать и все получилось!!!

    Теперь возник еще вопрос ))) можно ли как то ограничить доступ еще и по IP или по мак адресам для группы из интернета, так же штатными средствами? 

    26 марта 2012 г. 8:38
  • Штатное средство: интерфейс Windows Firewall, вот вам и IP-фильтр. Или прямое редактирование политики IPSec, что было бы интереснее, но составить полноценный белый список IPSec мало кому по силам.

    Мак-адреса распознаются только в пределах одного локального сегмента, шо вы говорите про интернеты.. Для локального сегмента посмотрите продукт 2X Secure RDP. Однако, мне кажется, вы слишком морочитесь. На крайний случай, можно начать выпускать цифровые сертификаты, но это тоже целая наука посложнее IPSec.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    26 марта 2012 г. 9:07
    Отвечающий
  • Штатное средство: интерфейс Windows Firewall, вот вам и IP-фильтр.

    смотрел в файерволе но что то не увидел там ничего с ip намекните пожалуйста где именно глянуть
    26 марта 2012 г. 9:18