Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Терминальный сервер. Значительное ограничение прав доступа пользователя (http://forum.oszone.net/showthread.php?t=184599)

Shturman_666 03-09-2010 22:28 1488159
Терминальный сервер. Значительное ограничение прав доступа пользователя
 
Првиет всем! Вообщем есть одна задумка :)
Имеем машину с Windows 2003 Enterprise без AD. На нём развернут Терминальный сервер, Файловый сервер, Прокси-сервер. Есть штук 8 пользователей пользующиеся интернетом. Есть одно НО... хотят значит они пользоваться торрентом. До этого я запрещал торренты т.к. они напрочь вешали инет. Сейчас провайдер повысил скорость на тарифе и я решился организовать эту идею. На клиентских машинах разрешать торренты не буду, потому что каждый будет стараться побыстрее скачать ту или иную раздачу и выставлять скорости, которые опять будут вешать инет-канал. Хочу на сервере создать пользователя, подключение по RDP. Для этого пользователя запретить ВСЁ кроме самого торрент-клиента, какого-нибудь браузера, доступа с физическим жеским. Чтобы он не смог выполнять действия начиная с изменения параметров системы и запуска других программ и заканчивая созданием всяких ярлычков и документов. Вот :)
Прошу обьяснить как это можно сделать, если можно конечно по пунктам :)
Если есть похожие темы на этом форуме сорри... искал - не нашел.

QRS 05-09-2010 21:37 1489188
Насчет максимального ограничения прав - учетные записи входят в группу "Гости" + настройте профиль "по умолчанию".

Насчет запуска программ: gpedit.msc - политика запуска программ. Рекомендую Server 2008, т.к. там возможности по настройки этого функционала существенно расширились.

Цитата:
Цитата Shturman_666
будет стараться побыстрее скачать ту или иную раздачу и выставлять скорости »
почему Вы считаете, что то же самое не будет происходить на терминальном сервере?

С точки зрения безопасности, торрент на терминальном сервере не сильно хорошо, не говоря о том, что они могут конфликтовать из-за входящего порта.
Имело бы смысл настроить шейпер, рациональнее всего на аппаратном шлюзе (роутер) типа Zyxel - в нем есть базовый функционал шейпера; либо же на сервер ставить Traffic Inspector или UserGate или Kerio.

cameron 05-09-2010 21:53 1489208
логичнее включить webgui в utorrent, в вашей извращённой схеме.

ShaddyR 05-09-2010 22:15 1489235
Цитата:
Цитата QRS
на сервер ставить Traffic Inspector или UserGate или Kerio. »
они не смогут контролировать траффик терминальных юзеров.

cameron 05-09-2010 22:56 1489253
Цитата:
Цитата ShaddyR
они не смогут контролировать траффик терминальных юзеров. »
у KWF, по моему, есть принудительная аутефикация.
правда ХЗ работает ли она когда клиент находится на этом же хосте.
ISA это решает =)

Shturman_666 06-09-2010 01:07 1489304
Цитата:
Цитата QRS
Рекомендую Server 2008, т.к. там возможности по настройки этого функционала существенно расширились. »
Я знаю что расширились... но мне мощности не хватает для 2008 :(
Цитата:
Цитата QRS
почему Вы считаете, что то же самое не будет происходить на терминальном сервере? »
Такое конечно имеет место быть, но это можно будет легко контролировать любому юзеру, который не сможет нормально сёрфить в интернете.
Цитата:
Цитата QRS
Имело бы смысл настроить шейпер, рациональнее всего на аппаратном шлюзе (роутер) типа Zyxel »
Увы у меня dsl2520, так что не подходит.
Цитата:
Цитата QRS
либо же на сервер ставить Traffic Inspector или UserGate или Kerio. »
UserGate сейчас стоит. Выполняет роль прокси. Никакой балансировки, ни распределения канала он не делать не умеет.
Цитата:
Цитата cameron
логичнее включить webgui в utorrent, в вашей извращённой схеме.»
Насколько я знаю... в webui невозможно выставить лимит загрузки определённой раздачи... только глобальную скорость можно поставить которая будет делиться между раздачами... тоже не подходит, потому как некоторые качают с внутренней сети, в которой скорость 16 мегабит, а некоторые льют с внешки.

El Scorpio 06-09-2010 04:42 1489360
Shturman_666, в любом случае правильнее будет поискать торрент-клиент с вёб-интерфейсом и запускать его в качестве службы.
если mtorrent не нравится, попробуйте другие. Полный список - здесь

Ещё можно поднять виртуальную машину, установить на неё linux и поставить transmission

cameron 06-09-2010 09:54 1489418
Цитата:
Цитата Shturman_666
Насколько я знаю... в webui невозможно выставить лимит загрузки определённой раздачи... только глобальную скорость можно поставить которая будет делиться между раздачами... тоже не подходит, потому как некоторые качают с внутренней сети, в которой скорость 16 мегабит, а некоторые льют с внешки. »
можно поставить =)

James Marsh 07-09-2010 13:09 1490251
Где-то проскальзывал reg-файл, в котором указывались приложения, которые можно запускать. А при запуске остальных - выдается ошибка.
Цитата:
Знаете ли Вы, что Windows позволяет запретить запуск всех программ, кроме разрешенных в специальном списке? А это действительно так, и порой эта возможность бывает очень полезна.

Итак, для ограничения запускаемых программ надо открыть раздел HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer реестра и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ. Для этого заходим в раздел и создаем для каждой программы строковый ключ с названием "1" (без кавычек) - для первой разрешенной программы, "2" - для второй и т.д. в качестве значений которых надо указать имена файлов разрешенных к запуску программ. Файлы должны быть с расширением, путь указывать не обязательно. Например, Word.exe, Excel.exe ...

Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра :). Если на компьютере есть несколько пользователей, то это не страшно: можно зайти под другим именем и оттуда изменить записи реестра, но если пользователь один - это может составить серьезную проблему. Спасти в такой ситуации может только создание файла с расширением REG, в котором будут отменены настройки. Чтобы снять ограничения надо установить значение ключа RestrictRun в ноль или удалить его. С помощью REG-файла удалить ключ невозможно, а вот установить его в 0 не составит труда. Вот пример такого файла:

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000000
Создаем юзера. Domain User + RemoteDesktop User. Логинимся. Выполняем процедуры. И вуаля.
Желательно создать рег-файл, что бы в при запуске regedit'a хвосты не висели.

Serenikii 07-09-2010 13:21 1490264
Честно говоря, я бы как раз на сервере не пустил бы торрент, а пустил бы их у клиентов, пуставят себе что хотят.
А на шейпере бы вырулил кусок канала под общее P2P растерзание, либо под каждого нарезать и никакого затухания канала не было бы.

Либо, действительно, линукс-машина с транссимишином для общего блага.

cameron 07-09-2010 23:34 1490636
Цитата:
Цитата James Marsh
Создаем юзера. Domain User + RemoteDesktop User. Логинимся. Выполняем процедуры. И вуаля.
Желательно создать рег-файл, что бы в при запуске regedit'a хвосты не висели. »
изобреталь велосипеда. google -> SRP


Время: 17:03.

Время: 17:03.
© OSzone.net 2001-