Имя: Пароль:
IT
Админ
Запрет доступа в домене
0 Silence63
 
06.04.16
21:26
Добрый вечер.
Домен, Serv 2003. У большинства пользователей в домене админские права на свои локальные машины,и они имеют расшаренные папки на своих компах. Назовём их группа "А". Нужно запретить доступ к их расшаренным папкам группе пользователей (или машин)групе "Б". Казалось бы всё просто. Запрещаешь в расшаренной папке группу ненужных пользователей. Но ведь пользователь с админскими локальными правами может сделать новую шару!

и те, и другие сидят в одном домене. При этом на расшаренные папки сервера попадать должны все.

Вопрос, как быть? Чтоб сохранить админские локальные права, и запретить группе пользователей "Б" вообще попадать на компы группы "А"?
1 Silence63
 
06.04.16
21:27
Да, у группы Б локальные права пользовательские.
2 Йохохо
 
06.04.16
21:38
L2 свич, порт бэйзед секьюрити
3 Silence63
 
06.04.16
21:42
(2) Управляемый свитч с разрешением по портам?
Думал про это.
Проблема в том, что Группа Б торчит в одном свитче, а группа А в другом. И сревер там где А. Оба свитча связаны между собой оптикой.
Если поставить 2 управляемых то в моём случае можно настроить всё?
4 Silence63
 
06.04.16
21:44
т.е. умеют ли управляемые свитчи работать с фильтром мак адресов по принципу например 1-18 портам запретить всё, кроме такого-то и такого мака?
5 Йохохо
 
06.04.16
21:44
это мак бэйзед, виланы еще
6 Йохохо
 
06.04.16
21:45
то есть мак фильтр взлетит, л2 обычно и то и то умеют
7 Silence63
 
06.04.16
21:48
(5) поподробней и понятным языком если можно))) Я купил свитч D-LINK DGS-1210-28/C1A
Он управляемый.
Умеет он то,что мне нужно?
просто никогда с управляемыми свитчами дел не имел. Буду разбираться. Может от сделать по моему примеру?
например комп с 10 порта пускать только на мак такой, такой и такой. и всё.?
8 Йохохо
 
06.04.16
21:48
торможу, у тебя все идеально для л2 по портам в (3), связность нарисуй и все понятно. 1-2 порт сервер свич1, 1-3 порт сервер свич2
9 Silence63
 
06.04.16
21:49
именно не с порта на порт свитча, а спорта на маки, или с мака на маки нужные.
10 Silence63
 
06.04.16
21:52
(8) Смотри, один отдел Сидит в офисе. Там же сервак, там же их свич.
Второй отдел сидит в соседнем офисе, там управляемый свич.
Свитчи между собой соединены оптикой.
Мне нужно чтоб народ из второго офиса не мог попасть на компы или расшаренные папки первого офиса, но на сервер чтоб могли заходить все.

Рисуется только фильтр по мак адресам, т.к. еслиб все торчали в одном свиче, можно было бы отфильтровать по портам свитча. А как я сделаю запрет с одного свитча на другой?
11 Йохохо
 
06.04.16
21:53
(10) точно свичи между собой оптикой? никакого конвертера оптика-эзернет?
12 Йохохо
 
06.04.16
21:56
купи второй б/у Л2) не в том офисе управляемый "раз у них админские права, МАК они поменяют, это ненадежно. Я тут на распродаже (улмарт/ситилинк) нашел новый с поврежденной коробкой. Скидка 50%!!" войла
13 Silence63
 
06.04.16
22:04
(12) В свитчах есть оптические порты. и в одном и во втором. на что они мак поменяют? на серверный?)))) не, за замену мака можно не переживать.
Если я куплю второй управляемый свич как мне это поможет?
Поидее и один свич может видеть маки.
неужели на нём не такого правила как порту 10 запретить всё макси кроме .....
14 Silence63
 
06.04.16
22:14
(12) можно по ip фильтр сделать. по принципу комп 192.168.0.121 не может зайти никуда кроме 192.168.0.2
Можно так?
Ведь у пользюка с 121 IP права пользователя, IP он не поменяет.
15 Zamestas
 
06.04.16
22:23
(0) Накуа пользователям локальные админские права?
16 b_ru
 
06.04.16
22:24
То есть мы пытаемся запретить пользователям "А" передавать информацию пользователям "Б"? Даже если придумать техническое решение с шарами, что запретит пользователю "А" передать информацию другим способом? Например, по почте послать? Какой в этом смысл?
17 Zamestas
 
06.04.16
22:39
В принципе можно добавить в локальную (НЕ ДОМЕНА!) политику безопасности компов группы "А" (у которых админские права):
"Отказывать в доступе к компьютеру из сети"
всю доменную группу "Б", и пусть шарят что хотят. Но при наличии админских прав и желании все отрубается на раз/два/три. Про то, что локальные админы могут класть болт на политики домена я вообще молчу.
18 Ps_b
 
06.04.16
23:08
(15) +100500
19 Silence63
 
07.04.16
00:06
(15) политика фирмы. не моя. (16) наоборот,мы бэшкам запрещаем слать ашкам.
по почте не получится. у бэшек энторнета нет
флешкимана закрыты. и права польз. (17) не получится, другие пользюки из а должны слать без проблем.
в управляемых свитчах не поможет никто?
ну или накрай...на касперском ендпоент зарубить входящие со злых адресов...
20 Zamestas
 
07.04.16
00:11
(19) Каким образом пользователей из "А" будет касаться запрет на доступ пользователей из группы "Б"?
21 Silence63
 
07.04.16
08:32
(20) никаким. ну так управляемый свитч можно настроить как я описал?
22 zva
 
07.04.16
08:44
Есть же политика на уровне ПК:
Конфигурация компа - Конфигурация Windows - параметры безопасности - назначение прав пользователя - Отказать к доступу этого ПК из сети.
Сделать OU с группой ПК, отдельную группу пользователей и накатить политику
23 zva
 
07.04.16
08:47
Отказать в доступе к этому ПК из сети
24 Сержант 1С
 
07.04.16
08:50
понаделают админов, потом скрещивают ужа с ежом
отбери админов и реши задачи штатными средствами
25 Silence63
 
07.04.16
10:01
(22) так в том то и дело,Что требуют оставить админские права. В этом случае не получится так, т.к. они могут обратно всё поменять.
Можно попробовать на файрволе касперском эндпоинт закрыть выход группе Б на всё,кроме нужных IP или имён компов.
Либо штатным файрволом. Это реально?
26 Silence63
 
07.04.16
10:08
(24) полностью с вами согласен.
мне проще порезать права всем.
даже если кто-то чтото сам захочет установить, приехать или удалённо дать доступ не проблема. машин то всего 40 штук в сети
27 Silence63
 
07.04.16
10:20
(22) Конфигурация компа - Конфигурация Windows - параметры безопасности - назначение прав пользователя -  Это где именно? чёт туплю)
28 zva
 
07.04.16
10:23
(25) gpedit.msc
Доменную политику накатите - она перекроет локальную ПК и меняется только на контроллере домена. Чтоб изменить придется ПК из домена и потом восстанавливать дефолтные политики.
29 Silence63
 
07.04.16
10:30
(28) в параметрах безопасности там куда?
Политики учётных записей
Локальные политики
Политики открытого ключа
Политики огранич использ программ
Политики безопасности IP на локальный компьютер.

Можно поподробней?
и что нам это даст? человек буду админом на своём пк не сможет создавать новые шары?
30 Silence63
 
07.04.16
10:34
(28) компы я могу к этой политике нужные ручками прикрепить? или пользователей всех туда пихнуть
31 zva
 
07.04.16
10:36
Локальные политики - Назначение прав пользователей
Шары он создавать сможет, туда не смогут зайти те, кто указан в этой политике
32 Silence63
 
07.04.16
10:43
(31) а в Назначение прав пользователей там где? Группа чёрных компов у меня уже есть.
33 arsik
 
гуру
07.04.16
10:56
А нельзя управляемый свич в офис переместить?
В нем указать, что с порта соединенного с другим офисом можно только на порт с сервером.
34 Silence63
 
07.04.16
11:00
(33) можно купить ещё один,невопрос.
кстати походу это решение!!
управляемые свитчи так настраиваются?
просто есть ещё комп один в другом офисе, который поидее должен не только на серв заходить. но это решим я думаю
35 Silence63
 
07.04.16
11:05
(28) Отказать к доступу этого ПК из сети не активно у меня. не добавишь там никого.
Я админ домена, может нужно быть админом предприятия ещё?
36 Silence63
 
07.04.16
14:25
Разум победил. Согласились порезать права пользюкам.
Будем делать один обменник для всех.
Теперь нужно как-то следить за ним
37 6kubikov
 
07.04.16
16:20
(36) Любую задачу нужно решать с учетом роста/масштабирования. Представьте, что у вас через год будет не 40, а 400 рабочих станций. И подумайте как ими всеми управлять.
Сеть, где все пользователи сидят в группе локальных администраторов изначально неуправляемая. Рано или поздно такая сеть рухнет. Так что самым правильным решением является сначала убрать права у пользователей, а дальше настраивать все через ГП.
38 Сержант 1С
 
07.04.16
17:10
(36) чо за ним следить, FS на 12, настрой дедупликацию, отчеты и бекапы, и забудь навсегда..
39 Silence63
 
08.04.16
20:15
(38) ну как бы порядок должен быть.
ефрейтор который немножко лейтенант наломает дров мама не горюй.
Пользователь не знает, чего он хочет, пока не увидит то, что он получил. Эдвард Йодан