Добрый вечер.
Домен, Serv 2003. У большинства пользователей в домене админские права на свои локальные машины,и они имеют расшаренные папки на своих компах. Назовём их группа "А". Нужно запретить доступ к их расшаренным папкам группе пользователей (или машин)групе "Б". Казалось бы всё просто. Запрещаешь в расшаренной папке группу ненужных пользователей. Но ведь пользователь с админскими локальными правами может сделать новую шару!

и те, и другие сидят в одном домене. При этом на расшаренные папки сервера попадать должны все.

Вопрос, как быть? Чтоб сохранить админские локальные права, и запретить группе пользователей "Б" вообще попадать на компы группы "А"?

Да, у группы Б локальные права пользовательские.

L2 свич, порт бэйзед секьюрити

(2) Управляемый свитч с разрешением по портам?
Думал про это.
Проблема в том, что Группа Б торчит в одном свитче, а группа А в другом. И сревер там где А. Оба свитча связаны между собой оптикой.
Если поставить 2 управляемых то в моём случае можно настроить всё?

т.е. умеют ли управляемые свитчи работать с фильтром мак адресов по принципу например 1-18 портам запретить всё, кроме такого-то и такого мака?

это мак бэйзед, виланы еще

то есть мак фильтр взлетит, л2 обычно и то и то умеют

(5) поподробней и понятным языком если можно))) Я купил свитч D-LINK DGS-1210-28/C1A
Он управляемый.
Умеет он то,что мне нужно?
просто никогда с управляемыми свитчами дел не имел. Буду разбираться. Может от сделать по моему примеру?
например комп с 10 порта пускать только на мак такой, такой и такой. и всё.?

торможу, у тебя все идеально для л2 по портам в (3), связность нарисуй и все понятно. 1-2 порт сервер свич1, 1-3 порт сервер свич2

именно не с порта на порт свитча, а спорта на маки, или с мака на маки нужные.

(8) Смотри, один отдел Сидит в офисе. Там же сервак, там же их свич.
Второй отдел сидит в соседнем офисе, там управляемый свич.
Свитчи между собой соединены оптикой.
Мне нужно чтоб народ из второго офиса не мог попасть на компы или расшаренные папки первого офиса, но на сервер чтоб могли заходить все.

Рисуется только фильтр по мак адресам, т.к. еслиб все торчали в одном свиче, можно было бы отфильтровать по портам свитча. А как я сделаю запрет с одного свитча на другой?

(10) точно свичи между собой оптикой? никакого конвертера оптика-эзернет?

купи второй б/у Л2) не в том офисе управляемый "раз у них админские права, МАК они поменяют, это ненадежно. Я тут на распродаже (улмарт/ситилинк) нашел новый с поврежденной коробкой. Скидка 50%!!" войла

(12) В свитчах есть оптические порты. и в одном и во втором. на что они мак поменяют? на серверный?)))) не, за замену мака можно не переживать.
Если я куплю второй управляемый свич как мне это поможет?
Поидее и один свич может видеть маки.
неужели на нём не такого правила как порту 10 запретить всё макси кроме .....

(12) можно по ip фильтр сделать. по принципу комп 192.168.0.121 не может зайти никуда кроме 192.168.0.2
Можно так?
Ведь у пользюка с 121 IP права пользователя, IP он не поменяет.

(0) Накуа пользователям локальные админские права?

То есть мы пытаемся запретить пользователям "А" передавать информацию пользователям "Б"? Даже если придумать техническое решение с шарами, что запретит пользователю "А" передать информацию другим способом? Например, по почте послать? Какой в этом смысл?

В принципе можно добавить в локальную (НЕ ДОМЕНА!) политику безопасности компов группы "А" (у которых админские права):
"Отказывать в доступе к компьютеру из сети"
всю доменную группу "Б", и пусть шарят что хотят. Но при наличии админских прав и желании все отрубается на раз/два/три. Про то, что локальные админы могут класть болт на политики домена я вообще молчу.

(15) +100500

(15) политика фирмы. не моя. (16) наоборот,мы бэшкам запрещаем слать ашкам.
по почте не получится. у бэшек энторнета нет
флешкимана закрыты. и права польз. (17) не получится, другие пользюки из а должны слать без проблем.
в управляемых свитчах не поможет никто?
ну или накрай...на касперском ендпоент зарубить входящие со злых адресов...

(19) Каким образом пользователей из "А" будет касаться запрет на доступ пользователей из группы "Б"?

(20) никаким. ну так управляемый свитч можно настроить как я описал?

Есть же политика на уровне ПК:
Конфигурация компа - Конфигурация Windows - параметры безопасности - назначение прав пользователя - Отказать к доступу этого ПК из сети.
Сделать OU с группой ПК, отдельную группу пользователей и накатить политику

Отказать в доступе к этому ПК из сети

понаделают админов, потом скрещивают ужа с ежом
отбери админов и реши задачи штатными средствами

(22) так в том то и дело,Что требуют оставить админские права. В этом случае не получится так, т.к. они могут обратно всё поменять.
Можно попробовать на файрволе касперском эндпоинт закрыть выход группе Б на всё,кроме нужных IP или имён компов.
Либо штатным файрволом. Это реально?

(24) полностью с вами согласен.
мне проще порезать права всем.
даже если кто-то чтото сам захочет установить, приехать или удалённо дать доступ не проблема. машин то всего 40 штук в сети

(22) Конфигурация компа - Конфигурация Windows - параметры безопасности - назначение прав пользователя -  Это где именно? чёт туплю)

(25) gpedit.msc
Доменную политику накатите - она перекроет локальную ПК и меняется только на контроллере домена. Чтоб изменить придется ПК из домена и потом восстанавливать дефолтные политики.

(28) в параметрах безопасности там куда?
Политики учётных записей
Локальные политики
Политики открытого ключа
Политики огранич использ программ
Политики безопасности IP на локальный компьютер.

Можно поподробней?
и что нам это даст? человек буду админом на своём пк не сможет создавать новые шары?

(28) компы я могу к этой политике нужные ручками прикрепить? или пользователей всех туда пихнуть

Локальные политики - Назначение прав пользователей
Шары он создавать сможет, туда не смогут зайти те, кто указан в этой политике

(31) а в Назначение прав пользователей там где? Группа чёрных компов у меня уже есть.

А нельзя управляемый свич в офис переместить?
В нем указать, что с порта соединенного с другим офисом можно только на порт с сервером.

(33) можно купить ещё один,невопрос.
кстати походу это решение!!
управляемые свитчи так настраиваются?
просто есть ещё комп один в другом офисе, который поидее должен не только на серв заходить. но это решим я думаю

(28) Отказать к доступу этого ПК из сети не активно у меня. не добавишь там никого.
Я админ домена, может нужно быть админом предприятия ещё?

Разум победил. Согласились порезать права пользюкам.
Будем делать один обменник для всех.
Теперь нужно как-то следить за ним

(36) Любую задачу нужно решать с учетом роста/масштабирования. Представьте, что у вас через год будет не 40, а 400 рабочих станций. И подумайте как ими всеми управлять.
Сеть, где все пользователи сидят в группе локальных администраторов изначально неуправляемая. Рано или поздно такая сеть рухнет. Так что самым правильным решением является сначала убрать права у пользователей, а дальше настраивать все через ГП.

(36) чо за ним следить, FS на 12, настрой дедупликацию, отчеты и бекапы, и забудь навсегда..

(38) ну как бы порядок должен быть.
ефрейтор который немножко лейтенант наломает дров мама не горюй.