Форум системных администраторов
IT => Networks => Тема начата: AlexW от 19 октября 2018, 15:17:22
-
Здравствуйте уважаемые посетители форума. :)
Работаю неспешно сисадмином. Сеть настроена, все работает. Сейчас в плане расширение и модернизация.
Сетка, которая в данный момент, достаточно простая: КД, сервер 1С, файлопомойка и 20 рабочих станций, пять сетевых принтеров, плюс обычный свич. Интернет по оптике через роутер.
На серверах Вин2008 сервер, на компах Вин7.
После расширения будет порядка 50-60 компов. Скоро начинается ремонт в дополнительных помещениях и готовим ТЗ для монтажа коммуникаций.
Пришедший новый зам. директора по тех. части в сетях немного разбирается, по этому лапшу на уши не повесишь. В принципе всё вроде предусмотрели, но вот одно пожелание директора я пока не знаю как сделать. Он хочет, что бы было разделено на три уровня доступа. Первый - это руководство. Они должны видеть все работающие компы в сети, а их самих чтоб не было видно. Вторая группа - они видят компы своей группы и группу что ниже. А компы в третьей группе, что бы не видели компы из первой и второй. Третью группу еще разделить на две подгруппы, что бы они видели компы только своей подгруппы. Я примерно представляю, что такая реализация возможна посредством VLAN. Но так как я с вланами не когда дело не имел (знаю только в теории как там), то возникают вопросы. К примеру: как будет раздавать ip-адреса dhcp сервер? Я же не могу создать одну vlan к примеру 192.168.0.1/24 а вторую 192.168.1.1/24. Или это не важно, а главное какой порт свича будет в этой vlan?
Либо другой вариант. На серверах будет вин2012 или вин2016. Насколько я знаю, там можно настраивать видимость компов с помощью DFS. Но даже если я настрою пути, то все равно при желании можно увидеть комп если набрать его сетевой адрес. Или как то можно закрыть?
Пока это основной вопрос, что нужно сделать. вот и прошу совета.
-
Они должны видеть все работающие компы в сети, а их самих чтоб не было видно. Вторая группа - они видят компы своей группы и группу что ниже. А компы в третьей группе, что бы не видели компы из первой и второй. Третью группу еще разделить на две подгруппы, что бы они видели компы только своей подгруппы.
На черта им вообще компы эти нужны-то?
Updated: 19 October 2018, 15:24:22
И что значит "видеть"? В "сетевом окружении" что ли?
-
Остановить на их компах браузинг что ли? Думаю - для обычных пользователей этого достаточно.
-
На черта им вообще компы эти нужны-то?
Типа хотят видеть, что сотрудник на работе и работает. :D
И что значит "видеть"? В "сетевом окружении" что ли?
Пофиг как, главное чтоб было видно...типа компьютер Иванова включен, значит на работе.
Кроме того, в расшаренные ресурсы могут заходить только члены этой подсети.
Ну к примеру...бухгалтерия: компы этой подгруппы и соответственно расшареные ресурсы могут видеть только: директор, его замы и собственно сама бухгалтерия. Другие вообще их не должны даже видеть в сетевом окружении.
-
Но даже если я настрою пути, то все равно при желании можно увидеть комп если набрать его сетевой адрес. Или как то можно закрыть?
И что с того? Если прав доступа нет, то можно хоть обсмотреться на этот компьютер.
Updated: 19 October 2018, 15:59:28
Типа хотят видеть, что сотрудник на работе и работает. :D
Офигеть показатель :facepalm2:
Ну к примеру...бухгалтерия: компы этой подгруппы и соответственно расшареные ресурсы могут видеть только: директор, его замы и собственно сама бухгалтерия.
Общие ресурсы не должны быть на компьютерах пользователей, а только на шарах на серверах. Там ваша "видимость" элементарно решается с помощью прав NTFS плюс Access-Based Enumeration (ABE).
-
Общие ресурсы не должны быть на компьютерах пользователей, а только на шарах на серверах.
Ну как вариант.
Еще думаю отключить на всех компах "службу доступа к файлам и принтерам". Есть ли смысл?
И еще вопрос. Начальник хочет отдельный железный файрвол, а я предлагаю поставить комп и замутить на нем и фарвол и проксю. Или вообще только проксю, а файрволл поднять на роутере. А на сэкономленные деньги что то еще прикупить. Просто у нас фиксированная сумма, которую нужно распределить. Ему то хорошо, на нем только организационные мероприятия, а все технические на мне.
-
Типа хотят видеть, что сотрудник на работе и работает.
Это шутка была или нет?
Updated: 19 October 2018, 16:41:36
хочет отдельный железный файрвол
Куда? Любой маршрутизатор нынче фаервол.
Updated: 19 October 2018, 16:42:19
Общие ресурсы не должны быть на компьютерах пользователей, а только на шарах на серверах. Там ваша "видимость" элементарно решается с помощью прав NTFS плюс Access-Based Enumeration (ABE).
+1, шареные локальные ресурсы пользователей это максимальный бред.
Updated: 19 October 2018, 16:43:27
И что с того? Если прав доступа нет, то можно хоть обсмотреться на этот компьютер.
+2, они будут видеть компьютер и даже допустим видеть шары, но зайти в них увы никак.
-
Это шутка была или нет?
Нет, не шутка. Так реально хочет руководство. Ну или почти так. Еще сами толком не знают, что хотят. Я пытаюсь что то обьяснить, но мы пока не пришли к общему решению.
-
Типа хотят видеть, что сотрудник на работе и работает.
погуглите программные комплексы, специально для такого дела предназначенные.
Еще сами толком не знают, что хотят
Так может, с этого и стоило бы начинать? ;)
Объясните руководству, что какое ТЗ - такой и результат будет в конечном итоге
-
Это шутка была или нет?
Нет, не шутка. Так реально хочет руководство. Ну или почти так. Еще сами толком не знают, что хотят. Я пытаюсь что то обьяснить, но мы пока не пришли к общему решению.
Появление компьютера в сетевом окружении - это событие не совсем вероятное. Сетевое окружение - глючная и устаревшая технология. И ненужная. По нему бессмысленно смотреть даже наличие компьютера в сети. Тогда уж хотя бы Friendly Pinger поставьте, толку больше будет. Хотя никак не отразит работает ли сотрудник, а только доступен по сети его компьютер или нет.
-
+1, от Вася включи мой комп будь другом, до WOL
-
AlexW, "стахановец" вам в помощь, только вот потом не удивляйся что тебя вся контора будет ненавидеть :D
-
Они должны видеть все работающие компы в сети, а их самих чтоб не было видно.
Кикидлер, онлайн-мониторинг, скрытый режим https://www.kickidler.com/ru/online-monitoring.html Единственно, если у коллег есть локальные админские права, то они могут задетектить граббер или папку программы и у тебя будут проблемы. Надо чтобы было разделено на три уровня доступа. Все это возможно в программе. А вообще следить за людьми без их ведома по мне как-то мерзенько. Мы тоже мониторим сотрудников, но только с их письменного согласия.