none
Закрыть доступ к сетевому окружению RRS feed

  • Вопрос

  • Домен 2003, станции - xp (в т.ч. без SP вообще ... да ещё и на FAT32)

     

    Надо определённым пользователям домена закрыть доступ к шАрам на друх ПК, но при этом оставить доступ к SQL на 2003. К SQL юзеры обращаются через прогу.

     

    Можно это как-то сделать через политики с контроллера, или надо каждую машину настраивать?

    20 июня 2008 г. 6:25

Ответы

  •  

    ХМ.... а вы знаете, ... всё-таки это можно красиво сделать:

     

    в политиках домена прописать Отказ в доступе к компьютеру из сети для данного пользователя - и он не может юзать шару на других ПК, но при этом надо в Политиках контроллера домена указать этому пользователю разрешение в Доступ к компьютеру из сети.

     

    Итог - с сервером можно работать, а с другими станциями - нет. ПРоверил - впроде работает именно так. Главное - дождаться обновления политик на  всех пк.

    20 июня 2008 г. 7:11

Все ответы

  • Можно попробовать задисэйблить службу "Рабочая станция" через групповые политики, тогда с этих компьютеров не будет возможно обращение к сетевым ресурсам. 

    Но если пользователи не смогут обращаться к сетевым ресурсам, то как они получат политики с контроллера из Sysvol? Wink

    Может лучше ограничиться доступом на уровне Share? Или переконвертить-таки ФС в NTFS

    20 июня 2008 г. 6:34
  • т.е. получается, что проще пройти по всем пк, и на каждом в локальной политике указать запрет на доступ к компу из сети для данного пользователя, так?

     

    20 июня 2008 г. 6:40
  • Да. Либо вообще остановить через ГП службу "Сервер" на рабочих станциях, чтобы пользователи не могли расшаривать папки (или задать им права обычных пользователей, а не локальных админов или опытных пользователей). А для обмена файлами создать соответствующие директории на файловом сервере

     

    20 июня 2008 г. 6:43
  • последняя уже существует, а первое - ещё в процессе)

     

    Всем спасибо за ответы!

     

    20 июня 2008 г. 6:49
  •  

    ХМ.... а вы знаете, ... всё-таки это можно красиво сделать:

     

    в политиках домена прописать Отказ в доступе к компьютеру из сети для данного пользователя - и он не может юзать шару на других ПК, но при этом надо в Политиках контроллера домена указать этому пользователю разрешение в Доступ к компьютеру из сети.

     

    Итог - с сервером можно работать, а с другими станциями - нет. ПРоверил - впроде работает именно так. Главное - дождаться обновления политик на  всех пк.

    20 июня 2008 г. 7:11
  • Согласен. Про этот параметр в ГП я не подумал Smile

    Единственный минус - запрет делается на целевом компьютере, а не на исходном. Т.е. если в сети появится комп не попадающий под ГП, то пользователи с других компьютеров будут к нему иметь доступ

    20 июня 2008 г. 7:45
  • ясно. учту - буду проверять периодически при добавлении в домен новых станций.

    20 июня 2008 г. 9:37