Форум системных администраторов

IT => Networks => Тема начата: AlexW от 19 октября 2018, 15:17:22

Название: Прошу совета по модернизации сети
Отправлено: AlexW от 19 октября 2018, 15:17:22
Здравствуйте уважаемые посетители форума.  :)
Работаю неспешно сисадмином. Сеть настроена, все работает. Сейчас в плане расширение и модернизация.
Сетка, которая в данный момент, достаточно простая: КД, сервер 1С, файлопомойка и 20 рабочих станций, пять сетевых принтеров, плюс обычный свич. Интернет по оптике через роутер.
На серверах Вин2008 сервер, на компах Вин7.
После расширения будет порядка 50-60 компов. Скоро начинается ремонт в дополнительных помещениях и готовим ТЗ для монтажа коммуникаций.
Пришедший новый зам. директора по тех. части в сетях немного разбирается, по этому лапшу на уши не повесишь. В принципе всё вроде предусмотрели, но вот одно пожелание директора я пока не знаю как сделать. Он хочет, что бы было разделено на три уровня доступа. Первый - это руководство. Они должны видеть все  работающие компы в сети, а их самих чтоб не было видно. Вторая группа - они видят компы своей группы и группу что ниже. А компы в третьей группе, что бы не видели компы из первой и второй. Третью группу еще разделить на две подгруппы, что бы они видели компы только своей подгруппы. Я примерно представляю, что такая реализация возможна посредством VLAN. Но так как я с вланами не когда дело не имел (знаю только в теории как там), то возникают вопросы. К примеру: как будет раздавать ip-адреса dhcp сервер? Я же не могу создать одну vlan к примеру 192.168.0.1/24 а вторую 192.168.1.1/24. Или это не важно, а главное какой порт свича будет в этой vlan?
Либо другой вариант. На серверах будет вин2012 или вин2016. Насколько я знаю, там можно настраивать видимость компов с помощью DFS. Но даже если я настрою пути, то все равно при желании можно увидеть комп если набрать его сетевой адрес. Или как то можно закрыть?
Пока это основной вопрос, что нужно сделать. вот и прошу совета.
Название: Прошу совета по модернизации сети
Отправлено: Retif от 19 октября 2018, 15:23:05
Они должны видеть все  работающие компы в сети, а их самих чтоб не было видно. Вторая группа - они видят компы своей группы и группу что ниже. А компы в третьей группе, что бы не видели компы из первой и второй. Третью группу еще разделить на две подгруппы, что бы они видели компы только своей подгруппы.
На черта им вообще компы эти нужны-то?


Updated: 19 October 2018, 15:24:22

И что значит "видеть"? В "сетевом окружении" что ли?
Название: Прошу совета по модернизации сети
Отправлено: Gekko от 19 октября 2018, 15:35:36
Остановить на их компах браузинг что ли? Думаю - для обычных пользователей этого достаточно.
Название: Прошу совета по модернизации сети
Отправлено: AlexW от 19 октября 2018, 15:51:04
Цитировать
На черта им вообще компы эти нужны-то?
Типа хотят видеть, что сотрудник на работе и работает.  :D

 
Цитировать
И что значит "видеть"? В "сетевом окружении" что ли?
Пофиг как, главное чтоб было видно...типа компьютер Иванова включен, значит на работе.

Кроме того, в расшаренные ресурсы могут заходить только члены этой подсети.
Ну к примеру...бухгалтерия: компы этой подгруппы и соответственно расшареные ресурсы могут видеть только: директор, его замы и собственно сама бухгалтерия. Другие вообще их не должны даже видеть в сетевом окружении.
Название: Прошу совета по модернизации сети
Отправлено: Retif от 19 октября 2018, 15:56:48
Но даже если я настрою пути, то все равно при желании можно увидеть комп если набрать его сетевой адрес. Или как то можно закрыть?
И что с того? Если прав доступа нет, то можно хоть обсмотреться на этот компьютер.


Updated: 19 October 2018, 15:59:28

Типа хотят видеть, что сотрудник на работе и работает.  :D
Офигеть показатель :facepalm2:

Ну к примеру...бухгалтерия: компы этой подгруппы и соответственно расшареные ресурсы могут видеть только: директор, его замы и собственно сама бухгалтерия.
Общие ресурсы не должны быть на компьютерах пользователей, а только на шарах на серверах. Там ваша "видимость" элементарно решается с помощью прав NTFS плюс Access-Based Enumeration (ABE).
Название: Прошу совета по модернизации сети
Отправлено: AlexW от 19 октября 2018, 16:22:50
Цитировать
Общие ресурсы не должны быть на компьютерах пользователей, а только на шарах на серверах.
Ну как вариант.
Еще думаю отключить на всех компах "службу доступа к файлам и принтерам". Есть ли смысл?

И еще вопрос. Начальник хочет отдельный железный файрвол, а я предлагаю поставить комп и замутить на нем и фарвол и проксю. Или вообще только проксю, а файрволл поднять на роутере. А на сэкономленные деньги что то еще прикупить. Просто у нас фиксированная сумма, которую нужно распределить. Ему то хорошо, на нем только организационные мероприятия, а все технические на мне.
Название: Прошу совета по модернизации сети
Отправлено: Triangle от 19 октября 2018, 16:40:26
Типа хотят видеть, что сотрудник на работе и работает.
Это шутка была или нет?



Updated: 19 October 2018, 16:41:36

хочет отдельный железный файрвол
Куда? Любой маршрутизатор нынче фаервол.


Updated: 19 October 2018, 16:42:19

Общие ресурсы не должны быть на компьютерах пользователей, а только на шарах на серверах. Там ваша "видимость" элементарно решается с помощью прав NTFS плюс Access-Based Enumeration (ABE).
+1, шареные локальные ресурсы пользователей это максимальный бред.



Updated: 19 October 2018, 16:43:27

И что с того? Если прав доступа нет, то можно хоть обсмотреться на этот компьютер.
+2, они будут видеть компьютер и даже допустим видеть шары, но зайти в них увы никак.
Название: Прошу совета по модернизации сети
Отправлено: AlexW от 19 октября 2018, 17:28:57
Цитировать
Это шутка была или нет?
Нет, не шутка. Так реально хочет руководство. Ну или почти так. Еще сами толком не знают, что хотят. Я пытаюсь что то обьяснить, но мы пока не пришли к общему решению.
Название: Прошу совета по модернизации сети
Отправлено: Mornind от 19 октября 2018, 22:25:53
Типа хотят видеть, что сотрудник на работе и работает. 
погуглите программные комплексы, специально для такого дела предназначенные.
Еще сами толком не знают, что хотят
Так может, с этого и стоило бы начинать?  ;)
Объясните руководству, что какое ТЗ - такой и результат будет в конечном итоге
Название: Прошу совета по модернизации сети
Отправлено: Retif от 19 октября 2018, 22:57:44
Цитировать
Это шутка была или нет?
Нет, не шутка. Так реально хочет руководство. Ну или почти так. Еще сами толком не знают, что хотят. Я пытаюсь что то обьяснить, но мы пока не пришли к общему решению.
Появление компьютера в сетевом окружении - это событие не совсем вероятное. Сетевое окружение - глючная и устаревшая технология. И ненужная. По нему бессмысленно смотреть даже наличие компьютера в сети. Тогда уж хотя бы Friendly Pinger поставьте, толку больше будет. Хотя никак не отразит работает ли сотрудник, а только доступен по сети его компьютер или нет.
Название: Прошу совета по модернизации сети
Отправлено: Triangle от 19 октября 2018, 23:16:55
+1, от Вася включи мой комп  будь другом, до WOL
Название: Прошу совета по модернизации сети
Отправлено: LongShort от 29 октября 2018, 21:40:00
AlexW, "стахановец" вам в помощь, только вот потом не удивляйся что тебя вся контора будет ненавидеть  :D
Название: Прошу совета по модернизации сети
Отправлено: Адамантий от 30 октября 2018, 13:10:01
Они должны видеть все работающие компы в сети, а их самих чтоб не было видно.
Кикидлер, онлайн-мониторинг, скрытый режим https://www.kickidler.com/ru/online-monitoring.html Единственно, если у коллег есть локальные админские права, то они могут задетектить граббер или папку программы и у тебя будут проблемы. Надо чтобы было разделено на три уровня доступа. Все это возможно в программе. А вообще следить за людьми без их ведома по мне как-то мерзенько. Мы тоже мониторим сотрудников, но только с их письменного согласия.