Была задача сделать 2 группы пользователей.
1я группа имеет право логиниться к терминальному серверу из локалки (из офиса)
2я группа из сети интернет - удаленный офис, дом.
Домена нет.
Для этого создал 2й RDP слушатель.
RDP-External (слушает нестандартнй порт и доступен из интернет)
RDP-Internal (слушает 3389 и доступен только из локалки)

Создал 2 группы безопасности и растасовал пользователей и добавил эти группы к соответствующим слушателям (в tscc.msc)

На первый взгляд все хорошо. 1я группа может логиниться только по нестандартному порту, 2я только через 3389. Если логинится внутренний снаружи - ему пишется, что нет прав.

Но вот если внутренний пользователь не завершил сеанс, а отключился, то к нему можно подключиться и снаружи. И ессно наоборот, к отключенному внешнему можно подключиться из локалки.

Граф. материал:
http://i022.radikal.ru/1302/0b/e402ed323b3b.png

Как победить это?

прибить сеанс пользователя не работающий через 15 мин

(1) Ну стоит 1 час. 15 минут жестоко.
Но проблема в том, что и активный сеанс нормально выбивает.

ап :(

я не проще закрыться шлюзом и в нем настроить перенаправление с нестандартного порта?

(2) в настройках посмотри внимательно про активный сеанс.

VPN поднять не предлагать ?

Это вообще работа фаервола

(4) Ты наверное не понял проблему. Снаружи и так порт нестандартный.
(5) подробнее можно. Что в настройках активного сеанса смотреть?
(6) Нет, не предлагать :(
(7) Фаервол со своей работой справляется.

(8) А чо так ? Решение как низя кстате подходит для тебя

(9) настраивать и обучать ездить придется. Сами не подключатся. Я порт сменил - по телефону ооочень долго объяснял как дописать :порт

А разброс срочных поездок мне не нужен.

(10) TW они не способны чтоль запустить ?

(8) попробуй поиграться в регистре с fInheritReconnectSame

(11) TW это что?

У них ярлычек на раб столе. И кроме запуска и работы в 1С мало что могут.

(12) Тогда человек не сможет с другого компютера подключиться (придется ждать час пока сеанс завершится принудительно или мне звонить), если оборвется связь и смениться IP провайдера.

П.С. как натыкать костылей я и так смогу. Но хочется по уму! Ведь если есть возможность раздавать права доступа на каждый слушатель отдельно, то должны же быть и права не только на вход, но и не переподключений!?

(13) TeamViewer.
ПО уму будет поднятие впн'а

(13) ну дык настрой, вроде там же, чтоб сеанс завершался, ИМХО там там еще 3-4 параметра подкрутить

+ а вообще я за (14)

Блин, да понятно про VPN!
Я спрашиваю как колесо прикрутить к велосипеду, а вы говорите - на машине езжай. :(

Про VPN я понял. Он есть, но RDP сейчас всеравно попой в инет торчит, т.к. большая часть людей не имеет возможности подключать VPN т.к. на их железках (это даже недокомпьютеры) я даже не знаю как этот впн настраивать, а ехать разбираться нет времени.

(17) У них виновозные железки ? так там настраивается линк на впн штатно. И ж0па терминала торчать наружу не будет

(18) вот доеду и увижу как это и что там за железки такие... А щас по стране рассекать нет возможности.
Я на этой работе 1й месяц, без того еще много заморочек.

(19) стуканись 607 986 225