|
Это правда, что нельзя разграничить доступ к интернету на терминальном сервере? | ☑ | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
0
Cerera
18.02.14
✎
15:43
|
Здравствуйте. У меня вопрос: Есть терминальный сервер, на котором сидят пользователи. У Терминального сервера есть сетевая карта под интернет канал. Если дать серверу канал, то его (интернет)видят все пользователи. Вопрос, как сделать, чтобы только конкретные пользователи могли использовать этот интернет канал, а остальные - нет?
Наш администратор говорит, что так сделать нереально. Моя задача проверить так ли это и узнать что об этом думают программисты. |
||||||||||
1
МишельЛагранж
18.02.14
✎
15:44
|
а каким попой вы этот доступ разграничивать будете? у вас тут и шлюз, чтоль?
|
||||||||||
2
ДенисЧ
18.02.14
✎
15:45
|
Ставим проксю, прямой выход запрещаем. На уровне прокси пользователям раздаём права.
Админа увольняем с волчьим билетом. ТС... Ну тут опустим, а то и правда приедет морду бить, как же Миста без такого колоритного персонажа останется... |
||||||||||
3
1Сергей
18.02.14
✎
15:45
|
(2) ты слишком добрый
|
||||||||||
4
Cerera
18.02.14
✎
15:46
|
(1)нет. шлюза нет. но я верю в Софт.
|
||||||||||
5
strange2007
18.02.14
✎
15:47
|
(0) Нереально.
Стопудово зажмотили денег на оборудование, купили комп, а теперь требуют с админа на этом компе терминал, AD, 1С-сервер, SQL-сервер, разграничение инета и что бы всё летало!!! Автор, отстань от админа и купи нормальное железо! ))))))))) А так да, отдельный комп в качестве шлюза/прокси и режем по авторизованным пользователям |
||||||||||
6
Cerera
18.02.14
✎
15:47
|
(2)ладно. я не буду приезжать бить морду. я же не злопамятный. просто вспыльчивый бываю, но быстро отхожу. ты не такой уж плохой.
|
||||||||||
7
Cerera
18.02.14
✎
15:49
|
(5)ванга из тебя никудышная. у нас серверная комната и несколько серверов. Но именно этот терминальный сервер не подключается к интернету изза того что админ говорит, что пользователей нельзя разграничить.
|
||||||||||
8
Chai Nic
18.02.14
✎
15:50
|
Через прокси можно разграничить, по логинам.
|
||||||||||
9
strange2007
18.02.14
✎
15:51
|
(7) Да ну что ты? Я ж иронизирую. Понятное дело, что не известно что у вас там. Оно ж может админ врет, что бы не напрягаться, может я прав и админ понимает, что это ему смерть будет. Терминалка, это авторизация пользователей, а раз так, то по пользователям и можно резать инет
|
||||||||||
10
Cerera
18.02.14
✎
15:55
|
просто изначально задача вот как стояла:
поставить в презентационой комнате огромный телевизор, который бы имел выход в интернет и на сам сервер, включая все документы и софт сервера. Я предложил сразу же купит тонкий клиент и подсоединяться напрямую на сервер. Но потом я узнал, что админ сказал, что нельзя на сервере разраничить интернет, но я не поверил в это. Позвонил ему, а он говорит, что на винде такое невозможно. что типа сетевая карта общая, значит и канал общий. |
||||||||||
11
strange2007
18.02.14
✎
16:01
|
(10) Хрень! При чем если поколдовать с доками, то можно разграничить вообще без дополнительного софта! Ведь нам известен пользователь и локальные сети. Все! в винде есть встроенный инструмент по управлению
|
||||||||||
12
Salimbek
18.02.14
✎
16:01
|
(10) Расскажи своему админу, что между сетевой картой и юзером можно поставить прокладку в виде прокси.
|
||||||||||
13
alexmobile
18.02.14
✎
16:05
|
можно политикой безопасности запретить отдельным пользователям запуск iexplore.exe. Правда пользователи могут догадаться и поставить другой браузер, но и это тоже можно ограничить политиками.
|
||||||||||
14
ДенисЧ
18.02.14
✎
16:06
|
И тут мы плавно так возвращаемся к 2.й строчке из (2)...
|
||||||||||
15
МишельЛагранж
18.02.14
✎
16:06
|
(2)Ставим проксю, прямой выход запрещаем. На уровне прокси пользователям раздаём права.
- вы никогда не админили, раз "прокся" у вас как само собой разумеющееся в наличии на каждом сервере, притом сама по себе. Вы шлюз от прокси отличаете? Или у вас отдельно все? |
||||||||||
16
MaxisUssr
18.02.14
✎
16:07
|
(0)
У других же работает - значит можно |
||||||||||
17
МишельЛагранж
18.02.14
✎
16:08
|
(7) Но именно этот терминальный сервер не подключается к интернету
- а пропустить не пробовали его в инет? |
||||||||||
18
МихаилМ
18.02.14
✎
16:09
|
(0)
причем здесь тема "v8" ? |
||||||||||
19
МишельЛагранж
18.02.14
✎
16:09
|
(11) Все! в винде есть встроенный инструмент по управлению
- ты крутой чувак. Рулишь пользюками на уровне виндовой (sic!) маршрутизации. |
||||||||||
20
МишельЛагранж
18.02.14
✎
16:10
|
+ 19 только инет здесь причем?
|
||||||||||
21
Necessitudo
18.02.14
✎
16:10
|
(0) Ты задолбал темы генерировать!
|
||||||||||
22
ДенисЧ
18.02.14
✎
16:10
|
(15) Я отличаю шлюз от прокси. И понимаю, о чём говорю.
А про "само собой разумеющееся в наличии " - свои эротические фантазии оставь при себе. |
||||||||||
23
МишельЛагранж
18.02.14
✎
16:13
|
(22) это у тебя эротические фантазии.
ты на уровне канала куда стучаться будешь? в проксю на 80 порт? или уже изобрел свою адресацию? |
||||||||||
24
Йохохо
18.02.14
✎
16:19
|
зачем ставить прокси, чтобы запретить? проще не ставить)
а так http://technet.microsoft.com/ru-ru/library/cc985341.aspx |
||||||||||
25
strange2007
18.02.14
✎
16:19
|
(19) Выдыхай! Я не успел написать, в (24) опередил
|
||||||||||
26
ДенисЧ
18.02.14
✎
16:23
|
(23) Я никуда не буду. Будет броузер.
|
||||||||||
27
Cerera
18.02.14
✎
16:23
|
ну вот что он говорит:
это не будет работать по той причине что комп (сервер) будет в инете уже, прокси по сути просто раздает один канал на несколько пользователей т.е на сервере есть канал + прокси и на других компах кто укажет секретный пароль есть интернет - что сейчас и реализовано 18 февраля 2014 г., 15:59 пользователь paul ustuygov <[email protected]> написал: Такс. а на сервере же можно прокси сервер программный поставить и каждый чел, кто знает секретный логин, бы выходил в интернет? или почему это бы не работало? С Уважением Устюгов Павел Александрович |
||||||||||
28
Torquader
18.02.14
✎
16:29
|
Некоторые терминальные сервера для "тонких" клиентов умели выдавать для каждой сессии свой Ip-адрес, но microsoft terminal такого не умеет.
Можно, конечно, поставить антивирус с FireWall и разрулить доступ по процессам, то есть дать определённым пользователям доступ на запуск определённых процессов, которые ходят в интернет, а всем остальным - дырку от бублика. |
||||||||||
29
strange2007
18.02.14
✎
16:30
|
(28) И чем сторонняя софтина будет лучше групповых политик?
|
||||||||||
30
Torquader
18.02.14
✎
16:32
|
(29) В групповых политиках на уровне Tcp-соединений нельзя управлять - а если FireWall, то процесс может получать доступ к соединениям только если запущен под определённой учётной записью.
|
||||||||||
31
Cerera
18.02.14
✎
16:36
|
значит правильный ответ - это фаерволом запретить выходить в интернет
|
||||||||||
32
strange2007
18.02.14
✎
16:37
|
(30) Там можно ограничивать запуск приложений, менять настройки в ИЕ и запретить менять кому либо другому. Я понимаю, что у всех "доступ в инет", это пакеты, но не всем же надо полную схему. К тому же для полной схемы можно еще требовать цепочки для обработки пакетов. Если кто не знает. есть еще и адм ресурс, это когда всем внушается отрубание пальцев, если полезет в инет
|
||||||||||
33
Torquader
18.02.14
✎
16:37
|
(31) "огненные коровы" тоже разные бывают, но движение в правильном направлении.
Встроенный, например, процессы по пользователям делить не умеет. |
||||||||||
34
MM
18.02.14
✎
16:38
|
(0) В новых виндовс вполне нормальный брандмауэр. Его можно переключить в режим блокирования, как входящих (по умолчанию включено), так и исходящих соединений для всех явно неразрешённых программ. Есть возможность открывать доступ к сети по логину или группе пользователя, это для тех программ которые должны работать в сети не для всех. И всё штатными средствами ОС.
|
||||||||||
35
МишельЛагранж
18.02.14
✎
16:38
|
знатоки, млть, будете файерволл с AD интегрировать?
(26) Я никуда не буду. Будет броузер. - на канальном уровне? однако... |
||||||||||
36
Torquader
18.02.14
✎
16:39
|
(34) Это в Windows 8 или Windows 2008 Server ?
|
||||||||||
37
МишельЛагранж
18.02.14
✎
16:39
|
(25)Управление параметрами браузера с помощью групповой политики
- пипец, ребята, у вас знания о сети на уровне работы браузера... |
||||||||||
38
МишельЛагранж
18.02.14
✎
16:40
|
(34)это для тех программ которые должны работать в сети не для всех
- ога, ограничь им сеть вообще. А то никак не разберутся, что и куда и зачем. |
||||||||||
39
Cerera
18.02.14
✎
16:42
|
похоже сис. админ победил.
что ты запретишь фаерволом ? он привязан к порту или программе но не к пользователю внутри одной системы GPO (групповые политики ) просто убьют сервер |
||||||||||
40
MM
18.02.14
✎
16:43
|
(36) сейчас смотрел на сервер 2008R2, на Вин7 тоже должно быть похоже. Разумеется, можно ограничить диапазоны портов, компьютеры-ИП адреса, куда можно/нельзя подключаться и многое другое.
|
||||||||||
41
Йохохо
18.02.14
✎
16:45
|
(39) ну и хорошо, купи андроид смарт тв свисток, гораздо больше фана + решение проблем презентаций с ноутов
|
||||||||||
42
Йохохо
18.02.14
✎
16:47
|
(35) каком канальном? на канальном тебя в интернет ни кто не пустит (незадорого) )
|
||||||||||
43
МишельЛагранж
18.02.14
✎
16:47
|
(39) я запрещу файерволом все, что угодно.
только в работе пользователей домена в сети это никакого отношения не имеет. И файерволл не "привязан" к порту, а к локальной машине. И всем её портам и сокетам. (40)Разумеется, можно ограничить диапазоны портов - всем рекомендую разобраться в теме сетевой безопасности более детально. |
||||||||||
44
Torquader
18.02.14
✎
16:47
|
(40) Ну, Windows 7 - это не терминальный сервер - хотя там тоже может быть несколько пользователей одновременно.
Просто - если можно для одной программы на уровне пользователей - это замечательно (то есть по владельцу процесса) - остальное (порты, программы - это там уже есть). |
||||||||||
45
МишельЛагранж
18.02.14
✎
16:48
|
(42)на канальном тебя в интернет ни кто не пустит
- хохо-хо, интернет - это не только и не сколько 80-й порт. Начните изучать сеть с этого постулата. |
||||||||||
46
MM
18.02.14
✎
16:58
|
(44) С пользователями похоже погорячился, но можно на уровне файловой системы закрыть доступ к программам, работающим с сетью. Возможно, придётся сделать копию бин папки 1С для пользователей без прав на интернет.
(43) у брандмауэра стоящего на сервере есть информация о процессах которые хотят выйти в сеть, и он может её использовать. |
||||||||||
47
Йохохо
18.02.14
✎
16:59
|
(45) далан) и как у Вас на канальном уровне маршрутизация устроена?
|
||||||||||
48
Torquader
18.02.14
✎
17:06
|
(46) Я про это и говорил, но, в стандартном - похоже - так и не допилили, чтобы это всё можно было настроить.
Просто, можно, конечно и правами в браузере рулить, но засланцы-то без браузера работают. |
||||||||||
49
МишельЛагранж
18.02.14
✎
17:12
|
(47) а у вас на каком она?
|
||||||||||
50
Death Moroz
18.02.14
✎
17:13
|
Ограничить можно но Админ прав выж этот сервак своим тырнетом через день ложить будите.
|
||||||||||
51
МишельЛагранж
18.02.14
✎
17:16
|
(50) у вас терминал тож по 80 порту ходит?
|
||||||||||
52
Torquader
18.02.14
✎
17:17
|
(50) Хороший сервер AD-а не боится.
И GPO всю память не сожрёт. Конечно, если кто-то не скупиться, и по мощней машину соберёт. |
||||||||||
53
Exec
18.02.14
✎
17:17
|
(0)
squid + ntlm Работает как в терминале, так и на отдельных машинах. Единственный минус - может у меня руки кривые, но иногда ни с того не с сего юзера перестаёт выпускать в инет и ему приходится перелогиниваться через веб на проксе. А так - обычная доменная авторизация по-умолчанию будет выпускать. Вообщем глянь гугл, squid + ntlm + терминальный сервер Можно кстати свид виндовой сборки поставить - но хз, я такой не пробовал :) Можно |
||||||||||
54
oslokot
18.02.14
✎
17:21
|
(53) Да, я тоже так делал на фрибзде.
Только у меня это не заработало Можно |
||||||||||
55
MM
18.02.14
✎
17:21
|
(52) Если не считать того, что контролёр домена кеширование винта отключает, ради себя любимого. После этого SQL на нём тормозит, а обратно его так просто не включить. Так что трудно придумать сочетание ролей сервера хуже.
|
||||||||||
56
Йохохо
18.02.14
✎
17:22
|
(49) аж в вики сходил, на сетевом правильный ответ?
вообще админ не то чтобы прав, но ради непонятной хотелки - нефиг |
||||||||||
57
Fedor-1971
18.02.14
✎
17:22
|
Картинка из (0),(10) и (27):
1. Есть навороченный телевизор, который умеет ходить в инет (только как он сможет работать с документами на терминальном сервере?). 2. Есть терминальный сервер, для документов и работы с 1С. 3. Есть корпоративный файрволл для доступа в интернет. И при чём тут выход в интернет с терминального сервера если телевизор по нему ходить умеет? Админ прав на 100% единая политика выхода в интернет через корпоративный файрволл для компов и напрямик с телевизора. Другое |
||||||||||
58
Зойч
18.02.14
✎
17:23
|
(55) с sql то как раз особо проблем не будет. у него своего кэширования по заглаза. А вот с сервером 1с и его любовью к темповым файлам...
|
||||||||||
59
МихаилМ
18.02.14
✎
17:23
|
Модераторы, уберите тему из "v8" в "Администрирование"
|
||||||||||
60
Йохохо
18.02.14
✎
17:25
|
(53) сквида мало, "сквид не работает с протоколами кроме хттп" (с), ну или почти
|
||||||||||
61
Torquader
18.02.14
✎
17:27
|
(55) Позвольте, а где в (0) SQL - там, насколько я понимаю, терминальный сервер, с которого народ в интернет ходит.
|
||||||||||
62
Exec
18.02.14
✎
17:35
|
http://www.redline-software.com/rus/support/docs/wingate/Version6features.php вот кстати виндовое решение.
=== Поддержка терминальных служб Добавлена поддержка терминальных служб. Произведены изменения механизма разрешения комплексного использования одного IP-адреса. Это значит, что пользователи WinGate теперь могут определять управление доступом и политиками на пользовательском уровне для терминальных служб. === |
||||||||||
63
Torquader
18.02.14
✎
17:38
|
(62) Ой, я WinGate помню с того момента, когда доступ в Инте был по модему, и это "чудо" само номер набирало, если кто-то из сети пытался страницу открыть.
|
||||||||||
64
V_V_V
18.02.14
✎
20:22
|
(0) Инет на терминале - зло. Лютое. Во-первых: вирусы, малварь и прочая хрень - поймал один, захлебнулись все, и не надо ля-ля о антивирусах и правах доступа. Во-вторых: ресурсы - тот же Скайп одной сессией отъедает 75-150 метров памяти, каждая страница браузера щас отдельный поток. Можно и в-третьих, и дальше...
Ты к терминалу с какого-то компа подключаешься - ну и лезь с этого компа в инет, нахрен тебе еще инет и в терминалке? Качать и обрабатывать что-то? Так качни на локальной машине и через примапленный диск забери на терминал. Нельзя |
||||||||||
65
Torquader
18.02.14
✎
20:26
|
(64) Есть момент, когда клиенты - терминалные коробочки, которые кроме RDP просто ничего вообще не умеют, а пользователям доступ в internet нужен.
Конечно, chrome или skype им не поставят, но вот старая "лисичка" вполне себе "бегала" в терминале. Да и бэкапить этот "зверинец" с сервера намного проще, чем каждую машину в сети. |
||||||||||
66
Torquader
18.02.14
✎
20:26
|
(65) Конечно, в (0) терминальные коробочки явно не покупали, так как их, почему-то, никто не любит.
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |