Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   Доступ к сетевым ресурсам! (http://forum.oszone.net/showthread.php?t=294678)

Led 29-01-2015 16:57 2463292
Доступ к сетевым ресурсам!
 
Привет трудящимся!

Имеется сетевая папка в домене AD. Задача сделать так, чтобы на нее мог зайти:

в первом случае: только доменный пользователь с конкретного ПК, введенного в домен.

во втором случае: локальный пользователь с конкретного ПК, не введенного в домен, но знающий учетные данные для подключения к этой папке.

Где это в групповых политиках настраивается, подскажите пожалуйста?

ПС: где в политиках ставятся ограничения на доступ к общим ресурсам для устройств подключенных к доменной сети по WiFi?

с Уважением

LehaMechanic 29-01-2015 17:28 2463305
Это настраивается в правах доступа NTFS в свойствах самой папки.

Led 29-01-2015 19:45 2463379
Цитата:
Цитата LehaMechanic
Это настраивается в правах доступа NTFS в свойствах самой папки. »
Как доменный ПК добавить в права доступа NTFS к папке нашел.
Не доменный компьютер не хочет находить.
Цитата:
Цитата Led
ПС: где в политиках ставятся ограничения на доступ к общим ресурсам для устройств подключенных к доменной сети по WiFi? »
ну здесь я совсем теряю воображение, чтобы придумать как это делается через права доступа NTFS))

WindowsNT 30-01-2015 10:29 2463642
Первый случай реализуем только через Encrypted File System, когда только на конкретной машине пользователь имеет сертификат EFS с закрытым ключом. Если у вас нет опыта работы с PKI, не стоит с этим связываться.

Второй случай аналогичен первому.
Рек. сменить задачу.

Led 30-01-2015 11:12 2463667
Цитата:
Цитата WindowsNT
Если у вас нет опыта работы с PKI, не стоит с этим связываться. »
Опыт имеет свойство накапливаться.
Если можно, подскажите пожалуйста исчерпывающий источник этой информации по данному вопросу или хотя бы ключевые слова?
Спасибо.

LehaMechanic 30-01-2015 11:31 2463677
Я может чего не понял? Но зачем вы городите какие-то сложности, когда всё просто?

Цитата:
Цитата Led
Как доменный ПК добавить в права доступа NTFS к папке нашел.
Не доменный компьютер не хочет находить. »
Ну если не получается по-хорошему, делайте финт ушами: на сервере создаете пользователя, аналогичного локальному, например User123. Даёте ему права на вашу папку. На локальном ПК делаете "подключить сетевой диск", указываете путь к нему, например
Код:
\\myservername\myfoldername
, тыкаете галочку "использовать другие учетные данные", водите логин \\mydomanename\User123 и его пароль 123456, жмакаете галочку "запомнить данные". ОК. И все, папка появляется в списке как сетевой диск, подключенный от имени User123.

Цитата:
Цитата Led
где в политиках ставятся ограничения на доступ к общим ресурсам для устройств подключенных к доменной сети по WiFi? »
Я вообще не пойму, какие устройства, если доступ осуществляется по учетным данным, а не по устройствам? Для этого у расшаренной папки грохается нафиг доступ объекта под именем "Все", всякие группы типа "Пользователи домена", "Пользователи такие", "Пользователи сякие", а оставляется конкретный список:
"Администратор" - полный доступ
"User123" - чтение и выполнение
"Дядя Вася" - чтение и запись и т.д.
И где тут каким боком устройства по Wi-Fi? Что они сделают, если не знают пароля Администратора, Usera 123 и дяди Васи?
А вообще, если вы хотите отгородиться от посторонних устройств, должен быть какой-то шлюз с фаерволлом на борту, его и настраивайте так, чтоб wi-fi не лазил во внутреннюю сеть, а сосал лапу вместо этого.

cameron 30-01-2015 11:57 2463692
Цитата:
Цитата WindowsNT
Первый случай реализуем только через Encrypted File System, когда только на конкретной машине пользователь имеет сертификат EFS с закрытым ключом. Если у вас нет опыта работы с PKI, не стоит с этим связываться.
Второй случай аналогичен первому.
Рек. сменить задачу. »
а как же Dynamic Access Control?

Led 30-01-2015 12:08 2463704
LehaMechanic, спасибо идею Вашу понял... вроде)
Моя задача заключается в том, чтобы в домене была папка, доступная только одному человеку. Это реализовывается как раз тем способом который Вы сказали, но меня не устраивает то, что любой кто знает логин и пароль этого юзера, может подключиться к этой папке. Мне пришла мысль помимо проверки на учетные данные при доступе к папке, сделать доступной эту папку только с конкретного ПК. Чтоб тот кто подключиться к сети, не мог просмотреть эту папку, зная учетные данные. как то так.
Условный блог:
if ( "введены правильные учетные данные" & "с доверенного ПК" )
{
Доступ к содержимому папки
}

LehaMechanic 30-01-2015 12:26 2463715
Цитата:
Цитата Led
меня не устраивает то, что любой кто знает логин и пароль этого юзера, может подключиться к этой папке. »
У вас руководство в конторе есть? Пишется служебная записка на обоих нарушителей режима безопасности с дальнейшим лишением премий, штрафами, выговорами и т.д. Одного раза должно хватить для того чтоб усвоить, что пароль разглашению не подлежит.

Led 30-01-2015 13:22 2463766
Цитата:
Цитата LehaMechanic
Пишется служебная записка »
Записка будет написана.
Записка также является отклонением от вопроса, можно ли сделать след усл блок:

Цитата:
Цитата Led
Условный блог:
if ( "введены правильные учетные данные" & "с доверенного ПК" )
{
Доступ к содержимому папки
} »

Ыть 31-01-2015 18:20 2464333
Цитата:
Цитата WindowsNT
Если у вас нет опыта работы с PKI, не стоит с этим связываться. »
В наш то век виртуализации больше подходит следующее:
Цитата:
Если у вас нет опыта работы с PKI, то необходимо развернуть тестовую инфраструктуру в виртуальной среде и тестировать, тестировать и ещё раз тестировать.
В рабочей среде не забываем про резервное копирование перед внесением изменений
Цитата:
Цитата Led
Если можно, подскажите пожалуйста исчерпывающий источник этой информации по данному вопросу или хотя бы ключевые слова? »
ключевое слово, извините за банальность "Гугл" ну и далее:
Dynamic Access Control 1
Dynamic Access Control 2
Dynamic Access Control 3
EFS 1
EFS 2
Так же для ограничения входа с компьютеров рассмотрите вариант с IPSec Policy

Цитата:
Цитата Led
локальный пользователь с конкретного ПК, не введенного в домен, но знающий учетные данные для подключения к этой папке. »
настоятельно рекомендую вам отказать от данного способа доступа к информации, так как он подразумевает доступ с неподконтрольных компании компьютеров, что может привести к раскрытию доменных учётных данных, которые использовались для доступа к корпоративной информации.

Цитата:
Цитата Led
ПС: где в политиках ставятся ограничения на доступ к общим ресурсам для устройств подключенных к доменной сети по WiFi? »
здесь вижу следующий вариант:
убрать WiFi в отдельную сеть, например с помощью VLAN, и настроить правило фаервола на сервере (через GPO :) ), блокирующего WiFi сеть.
для корпоративных ноутубков и мобильных устройств можно развернуть вторую сеть WiFi c авторизацией в Active Directory.
Кстати, в том же NAP можно посмотреть правила доступа к серверу при определённых условиях.

Led 31-01-2015 20:55 2464429
Ыть, спасибо за развернутый ответ - любо дорого смотреть) Буду знакомиться с материалом.


Время: 21:13.

Время: 21:13.
© OSzone.net 2001-