Имя: Пароль:
1C
1С v8
Это правда, что нельзя разграничить доступ к интернету на терминальном сервере?
0 Cerera
 
18.02.14
15:43
1. Можно 50% (2)
2. Нельзя 25% (1)
3. Другое 25% (1)
Всего мнений: 4

Здравствуйте. У меня вопрос: Есть терминальный сервер, на котором сидят пользователи. У Терминального сервера есть сетевая карта под интернет канал. Если дать серверу канал, то его (интернет)видят все пользователи. Вопрос, как сделать, чтобы только конкретные пользователи могли использовать этот интернет канал, а остальные - нет?

Наш администратор говорит, что так сделать нереально. Моя задача проверить так ли это и узнать что об этом думают программисты.
1 МишельЛагранж
 
18.02.14
15:44
а каким попой вы этот доступ разграничивать будете? у вас тут и шлюз, чтоль?
2 ДенисЧ
 
18.02.14
15:45
Ставим проксю, прямой выход запрещаем. На уровне прокси пользователям раздаём права.
Админа увольняем с волчьим билетом.
ТС... Ну тут опустим, а то и правда приедет морду бить, как же Миста без такого колоритного персонажа останется...
3 1Сергей
 
18.02.14
15:45
(2) ты слишком добрый
4 Cerera
 
18.02.14
15:46
(1)нет. шлюза нет. но я верю в Софт.
5 strange2007
 
18.02.14
15:47
(0) Нереально.
Стопудово зажмотили денег на оборудование, купили комп, а теперь требуют с админа на этом компе терминал, AD, 1С-сервер, SQL-сервер, разграничение инета и что бы всё летало!!!
Автор, отстань от админа и купи нормальное железо!
)))))))))

А так да, отдельный комп в качестве шлюза/прокси и режем по авторизованным пользователям
6 Cerera
 
18.02.14
15:47
(2)ладно. я не буду приезжать бить морду. я же не злопамятный. просто вспыльчивый бываю, но быстро отхожу. ты не такой уж плохой.
7 Cerera
 
18.02.14
15:49
(5)ванга из тебя никудышная. у нас серверная комната и несколько серверов. Но именно этот терминальный сервер не подключается к интернету изза того что админ говорит, что пользователей нельзя разграничить.
8 Chai Nic
 
18.02.14
15:50
Через прокси можно разграничить, по логинам.
9 strange2007
 
18.02.14
15:51
(7) Да ну что ты? Я ж иронизирую. Понятное дело, что не известно что у вас там. Оно ж может админ врет, что бы не напрягаться, может я прав и админ понимает, что это ему смерть будет. Терминалка, это авторизация пользователей, а раз так, то по пользователям и можно резать инет
10 Cerera
 
18.02.14
15:55
просто изначально задача вот как стояла:

поставить в презентационой комнате огромный телевизор, который бы имел выход в интернет и на сам сервер, включая все документы и софт сервера.
Я предложил сразу же купит тонкий клиент и подсоединяться напрямую на сервер. Но потом я узнал, что админ сказал, что нельзя на сервере разраничить интернет, но я не поверил в это. Позвонил ему, а он говорит, что на винде такое невозможно. что типа сетевая карта общая, значит и канал общий.
11 strange2007
 
18.02.14
16:01
(10) Хрень! При чем если поколдовать с доками, то можно разграничить вообще без дополнительного софта! Ведь нам известен пользователь и локальные сети. Все! в винде есть встроенный инструмент по управлению
12 Salimbek
 
18.02.14
16:01
(10) Расскажи своему админу, что между сетевой картой и юзером можно поставить прокладку в виде прокси.
13 alexmobile
 
18.02.14
16:05
можно политикой безопасности запретить отдельным пользователям запуск iexplore.exe. Правда пользователи могут догадаться и поставить другой браузер, но и это тоже можно ограничить политиками.
14 ДенисЧ
 
18.02.14
16:06
И тут мы плавно так возвращаемся к 2.й строчке из (2)...
15 МишельЛагранж
 
18.02.14
16:06
(2)Ставим проксю, прямой выход запрещаем. На уровне прокси пользователям раздаём права.
- вы никогда не админили, раз "прокся" у вас как само собой разумеющееся в наличии на каждом сервере, притом сама по себе. Вы шлюз от прокси отличаете? Или у вас отдельно все?
16 MaxisUssr
 
18.02.14
16:07
(0)
У других же работает - значит можно
17 МишельЛагранж
 
18.02.14
16:08
(7) Но именно этот терминальный сервер не подключается к интернету
- а пропустить не пробовали его в инет?
18 МихаилМ
 
18.02.14
16:09
(0)
причем здесь тема "v8" ?
19 МишельЛагранж
 
18.02.14
16:09
(11) Все! в винде есть встроенный инструмент по управлению
- ты крутой чувак.
Рулишь пользюками на уровне виндовой (sic!) маршрутизации.
20 МишельЛагранж
 
18.02.14
16:10
+ 19 только инет здесь причем?
21 Necessitudo
 
18.02.14
16:10
(0) Ты задолбал темы генерировать!
22 ДенисЧ
 
18.02.14
16:10
(15) Я отличаю шлюз от прокси. И понимаю, о чём говорю.
А про "само собой разумеющееся в наличии " - свои эротические фантазии оставь при себе.
23 МишельЛагранж
 
18.02.14
16:13
(22) это у тебя эротические фантазии.
ты на уровне канала куда стучаться будешь? в проксю на 80 порт? или уже изобрел свою адресацию?
24 Йохохо
 
18.02.14
16:19
зачем ставить прокси, чтобы запретить? проще не ставить)
а так
http://technet.microsoft.com/ru-ru/library/cc985341.aspx
25 strange2007
 
18.02.14
16:19
(19) Выдыхай! Я не успел написать, в (24) опередил
26 ДенисЧ
 
18.02.14
16:23
(23) Я никуда не буду. Будет броузер.
27 Cerera
 
18.02.14
16:23
ну вот что он говорит:

это не будет работать по той причине что комп (сервер) будет в инете уже, прокси по сути просто раздает один канал на несколько пользователей т.е на сервере есть канал + прокси и на других компах кто укажет секретный пароль есть интернет - что сейчас и реализовано


18 февраля 2014 г., 15:59 пользователь paul ustuygov <[email protected]> написал:
Такс. а на сервере же можно прокси сервер программный поставить и каждый чел, кто знает секретный логин, бы выходил в интернет? или почему это бы не работало?
С Уважением Устюгов Павел Александрович
28 Torquader
 
18.02.14
16:29
Некоторые терминальные сервера для "тонких" клиентов умели выдавать для каждой сессии свой Ip-адрес, но microsoft terminal такого не умеет.
Можно, конечно, поставить антивирус с FireWall и разрулить доступ по процессам, то есть дать определённым пользователям доступ на запуск определённых процессов, которые ходят в интернет, а всем остальным - дырку от бублика.
29 strange2007
 
18.02.14
16:30
(28) И чем сторонняя софтина будет лучше групповых политик?
30 Torquader
 
18.02.14
16:32
(29) В групповых политиках на уровне Tcp-соединений нельзя управлять - а если FireWall, то процесс может получать доступ к соединениям только если запущен под определённой учётной записью.
31 Cerera
 
18.02.14
16:36
значит правильный ответ - это фаерволом запретить выходить в интернет
32 strange2007
 
18.02.14
16:37
(30) Там можно ограничивать запуск приложений, менять настройки в ИЕ и запретить менять кому либо другому. Я понимаю, что у всех "доступ в инет", это пакеты, но не всем же надо полную схему. К тому же для полной схемы можно еще требовать цепочки для обработки пакетов. Если кто не знает. есть еще и адм ресурс, это когда всем внушается отрубание пальцев, если полезет в инет
33 Torquader
 
18.02.14
16:37
(31) "огненные коровы" тоже разные бывают, но движение в правильном направлении.
Встроенный, например, процессы по пользователям делить не умеет.
34 MM
 
18.02.14
16:38
(0) В новых виндовс вполне нормальный брандмауэр. Его можно переключить в режим блокирования, как входящих (по умолчанию включено), так и исходящих соединений для всех явно неразрешённых программ. Есть возможность открывать доступ к сети по логину или группе пользователя, это для тех программ которые должны работать в сети не для всех. И всё штатными средствами ОС.
35 МишельЛагранж
 
18.02.14
16:38
знатоки, млть, будете файерволл с AD интегрировать?
(26) Я никуда не буду. Будет броузер.
- на канальном уровне? однако...
36 Torquader
 
18.02.14
16:39
(34) Это в Windows 8 или Windows 2008 Server ?
37 МишельЛагранж
 
18.02.14
16:39
(25)Управление параметрами браузера с помощью групповой политики
- пипец, ребята, у вас знания о сети на уровне работы браузера...
38 МишельЛагранж
 
18.02.14
16:40
(34)это для тех программ которые должны работать в сети не для всех
- ога, ограничь им сеть вообще. А то никак не разберутся, что и куда и зачем.
39 Cerera
 
18.02.14
16:42
похоже сис. админ победил.

что ты запретишь фаерволом ?
он привязан к порту или программе но не к пользователю внутри одной системы
GPO (групповые политики ) просто убьют сервер
40 MM
 
18.02.14
16:43
(36) сейчас смотрел на сервер 2008R2, на Вин7 тоже должно быть похоже. Разумеется, можно ограничить диапазоны портов, компьютеры-ИП адреса, куда можно/нельзя подключаться и многое другое.
41 Йохохо
 
18.02.14
16:45
(39) ну и хорошо, купи андроид смарт тв свисток, гораздо больше фана + решение проблем презентаций с ноутов
42 Йохохо
 
18.02.14
16:47
(35) каком канальном? на канальном тебя в интернет ни кто не пустит (незадорого) )
43 МишельЛагранж
 
18.02.14
16:47
(39) я запрещу файерволом все, что угодно.
только в работе пользователей домена в сети это никакого отношения не имеет.
И файерволл не "привязан" к порту, а к локальной машине. И всем её портам и сокетам.
(40)Разумеется, можно ограничить диапазоны портов
- всем рекомендую разобраться в теме сетевой безопасности более детально.
44 Torquader
 
18.02.14
16:47
(40) Ну, Windows 7 - это не терминальный сервер - хотя там тоже может быть несколько пользователей одновременно.
Просто - если можно для одной программы на уровне пользователей - это замечательно (то есть по владельцу процесса) - остальное (порты, программы - это там уже есть).
45 МишельЛагранж
 
18.02.14
16:48
(42)на канальном тебя в интернет ни кто не пустит
- хохо-хо, интернет - это не только и не сколько 80-й порт.
Начните изучать сеть с этого постулата.
46 MM
 
18.02.14
16:58
(44) С пользователями похоже погорячился, но можно на уровне файловой системы закрыть доступ к программам, работающим с сетью. Возможно, придётся сделать копию бин папки 1С для пользователей без прав на интернет.
(43) у брандмауэра стоящего на сервере есть информация о процессах которые хотят выйти в сеть, и он может её использовать.
47 Йохохо
 
18.02.14
16:59
(45) далан) и как у Вас на канальном уровне маршрутизация устроена?
48 Torquader
 
18.02.14
17:06
(46) Я про это и говорил, но, в стандартном - похоже - так и не допилили, чтобы это всё можно было настроить.
Просто, можно, конечно и правами в браузере рулить, но засланцы-то без браузера работают.
49 МишельЛагранж
 
18.02.14
17:12
(47) а у вас на каком она?
50 Death Moroz
 
18.02.14
17:13
Ограничить можно но Админ прав выж этот сервак своим тырнетом через день ложить будите.
51 МишельЛагранж
 
18.02.14
17:16
(50) у вас терминал тож по 80 порту ходит?
52 Torquader
 
18.02.14
17:17
(50) Хороший сервер AD-а не боится.
И GPO всю память не сожрёт.
Конечно, если кто-то не скупиться,
и по мощней машину соберёт.
53 Exec
 
18.02.14
17:17
(0)
squid + ntlm
Работает как в терминале, так и на отдельных машинах. Единственный минус - может у меня руки кривые, но иногда ни с того не с сего юзера перестаёт выпускать в инет и ему приходится перелогиниваться через веб на проксе. А так - обычная доменная авторизация по-умолчанию будет выпускать.
Вообщем глянь гугл, squid + ntlm + терминальный сервер
Можно кстати свид виндовой сборки поставить - но хз, я такой не пробовал :)

Можно
54 oslokot
 
18.02.14
17:21
(53) Да, я тоже так делал на фрибзде.
Только у меня это не заработало

Можно
55 MM
 
18.02.14
17:21
(52) Если не считать того, что контролёр домена кеширование винта отключает, ради себя любимого. После этого SQL на нём тормозит, а обратно его так просто не включить. Так что трудно придумать сочетание ролей сервера хуже.
56 Йохохо
 
18.02.14
17:22
(49) аж в вики сходил, на сетевом правильный ответ?
вообще админ не то чтобы прав, но ради непонятной хотелки - нефиг
57 Fedor-1971
 
18.02.14
17:22
Картинка из (0),(10) и (27):
1. Есть навороченный телевизор, который умеет ходить в инет (только как он сможет работать с документами на терминальном сервере?).
2. Есть терминальный сервер, для документов и работы с 1С.
3. Есть корпоративный файрволл для доступа в интернет.

И при чём тут выход в интернет с терминального сервера если телевизор по нему ходить умеет? Админ прав на 100% единая политика выхода в интернет через корпоративный файрволл для компов и напрямик с телевизора.

Другое
58 Зойч
 
18.02.14
17:23
(55) с sql то как раз особо проблем не будет. у него своего кэширования по заглаза. А вот с сервером 1с и его любовью к темповым файлам...
59 МихаилМ
 
18.02.14
17:23
Модераторы, уберите тему из "v8" в "Администрирование"
60 Йохохо
 
18.02.14
17:25
(53) сквида мало, "сквид не работает с протоколами кроме хттп" (с), ну или почти
61 Torquader
 
18.02.14
17:27
(55) Позвольте, а где в (0) SQL - там, насколько я понимаю, терминальный сервер, с которого народ в интернет ходит.
62 Exec
 
18.02.14
17:35
http://www.redline-software.com/rus/support/docs/wingate/Version6features.php вот кстати виндовое решение.

===
Поддержка терминальных служб
Добавлена поддержка терминальных служб. Произведены изменения механизма разрешения комплексного использования одного IP-адреса. Это значит, что пользователи WinGate теперь могут определять управление доступом и политиками на пользовательском уровне для терминальных служб.
===
63 Torquader
 
18.02.14
17:38
(62) Ой, я WinGate помню с того момента, когда доступ в Инте был по модему, и это "чудо" само номер набирало, если кто-то из сети пытался страницу открыть.
64 V_V_V
 
18.02.14
20:22
(0) Инет на терминале - зло. Лютое. Во-первых: вирусы, малварь и прочая хрень - поймал один, захлебнулись все, и не надо ля-ля о антивирусах и правах доступа. Во-вторых: ресурсы - тот же Скайп одной сессией отъедает 75-150 метров памяти, каждая страница браузера щас отдельный поток. Можно и в-третьих, и дальше...
Ты к терминалу с какого-то компа подключаешься - ну и лезь с этого компа в инет, нахрен тебе еще инет и в терминалке? Качать и обрабатывать что-то? Так качни на локальной машине и через примапленный диск забери на терминал.

Нельзя
65 Torquader
 
18.02.14
20:26
(64) Есть момент, когда клиенты - терминалные коробочки, которые кроме RDP просто ничего вообще не умеют, а пользователям доступ в internet нужен.
Конечно, chrome или skype им не поставят, но вот старая "лисичка" вполне себе "бегала" в терминале.
Да и бэкапить этот "зверинец" с сервера намного проще, чем каждую машину в сети.
66 Torquader
 
18.02.14
20:26
(65) Конечно, в (0) терминальные коробочки явно не покупали, так как их, почему-то, никто не любит.