Имя: Пароль:
IT
Админ
RDP слушатели. Разобраться с правами.
0 ELEA26
 
05.02.13
16:53
Была задача сделать 2 группы пользователей.
1я группа имеет право логиниться к терминальному серверу из локалки (из офиса)
2я группа из сети интернет - удаленный офис, дом.
Домена нет.
Для этого создал 2й RDP слушатель.
RDP-External (слушает нестандартнй порт и доступен из интернет)
RDP-Internal (слушает 3389 и доступен только из локалки)

Создал 2 группы безопасности и растасовал пользователей и добавил эти группы к соответствующим слушателям (в tscc.msc)

На первый взгляд все хорошо. 1я группа может логиниться только по нестандартному порту, 2я только через 3389. Если логинится внутренний снаружи - ему пишется, что нет прав.

Но вот если внутренний пользователь не завершил сеанс, а отключился, то к нему можно подключиться и снаружи. И ессно наоборот, к отключенному внешнему можно подключиться из локалки.

Граф. материал:
http://i022.radikal.ru/1302/0b/e402ed323b3b.png

Как победить это?
1 Lionee
 
05.02.13
17:05
прибить сеанс пользователя не работающий через 15 мин
2 ELEA26
 
05.02.13
17:38
(1) Ну стоит 1 час. 15 минут жестоко.
Но проблема в том, что и активный сеанс нормально выбивает.
3 ELEA26
 
06.02.13
09:35
ап :(
4 MRAK
 
06.02.13
10:12
я не проще закрыться шлюзом и в нем настроить перенаправление с нестандартного порта?
5 Lionee
 
06.02.13
10:22
(2) в настройках посмотри внимательно про активный сеанс.
6 Cap_1977
 
06.02.13
10:25
VPN поднять не предлагать ?
7 eklmn
 
гуру
06.02.13
10:39
Это вообще работа фаервола
8 ELEA26
 
06.02.13
10:54
(4) Ты наверное не понял проблему. Снаружи и так порт нестандартный.
(5) подробнее можно. Что в настройках активного сеанса смотреть?
(6) Нет, не предлагать :(
(7) Фаервол со своей работой справляется.
9 Cap_1977
 
06.02.13
11:04
(8) А чо так ? Решение как низя кстате подходит для тебя
10 ELEA26
 
06.02.13
11:23
(9) настраивать и обучать ездить придется. Сами не подключатся. Я порт сменил - по телефону ооочень долго объяснял как дописать :порт

А разброс срочных поездок мне не нужен.
11 Cap_1977
 
06.02.13
11:28
(10) TW они не способны чтоль запустить ?
12 eklmn
 
гуру
06.02.13
11:33
(8) попробуй поиграться в регистре с fInheritReconnectSame
13 ELEA26
 
06.02.13
12:01
(11) TW это что?

У них ярлычек на раб столе. И кроме запуска и работы в 1С мало что могут.

(12) Тогда человек не сможет с другого компютера подключиться (придется ждать час пока сеанс завершится принудительно или мне звонить), если оборвется связь и смениться IP провайдера.

П.С. как натыкать костылей я и так смогу. Но хочется по уму! Ведь если есть возможность раздавать права доступа на каждый слушатель отдельно, то должны же быть и права не только на вход, но и не переподключений!?
14 Cap_1977
 
06.02.13
12:10
(13) TeamViewer.
ПО уму будет поднятие впн'а
15 eklmn
 
гуру
06.02.13
12:11
(13) ну дык настрой, вроде там же, чтоб сеанс завершался, ИМХО там там еще 3-4 параметра подкрутить
16 eklmn
 
гуру
06.02.13
12:14
+ а вообще я за (14)
17 ELEA26
 
06.02.13
12:17
Блин, да понятно про VPN!
Я спрашиваю как колесо прикрутить к велосипеду, а вы говорите - на машине езжай. :(

Про VPN я понял. Он есть, но RDP сейчас всеравно попой в инет торчит, т.к. большая часть людей не имеет возможности подключать VPN т.к. на их железках (это даже недокомпьютеры) я даже не знаю как этот впн настраивать, а ехать разбираться нет времени.
18 Cap_1977
 
06.02.13
12:27
(17) У них виновозные железки ? так там настраивается линк на впн штатно. И ж0па терминала торчать наружу не будет
19 ELEA26
 
06.02.13
12:29
(18) вот доеду и увижу как это и что там за железки такие... А щас по стране рассекать нет возможности.
Я на этой работе 1й месяц, без того еще много заморочек.
20 Cap_1977
 
06.02.13
12:32
(19) стуканись 607 986 225