Автор Тема: Хитрая система общего доступа к шарам на сервере с двумя интерфейсами  (Прочитано 13620 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Онлайн Morleys

  • Постоялец
  • ***
  • Сообщений: 375
  • Рейтинг: 12
  • Пол: Мужской
  • Мурр... Мяу!
    • morleys.ru
    • Просмотр профиля
  • Откуда: Питер!
Камрады, нужен мозговой штурм.

Есть сервер 2003 с двумя интерфейсами:
1. 192.168.100.5 - смотрит в пользовательскую локалку.
2. 192.168.0.5 - смотрит в "типа" DMZ в ЦОДе провайдера. Там же находится терминальный сервер, на котором все в основном и работают.

Необходимо обеспечить следующее:
1. шара, доступная для всех на чтение-запись, но только из локалки.
2. шара, доступная для отдельной группы безопасности на запись, остальным для чтения в т.ч. и с терминальника

Я чота в тупике   :dash:

Оффлайн Neonaft

  • Старожил
  • ****
  • Сообщений: 996
  • Рейтинг: 7
  • Пол: Мужской
  • Балбес по жизни
    • Просмотр профиля
  • Откуда: Москоу
Шара на этом серваке?
Логины/пароли везде одинаковые?
Мощность ядерного взрыва равна 22030000000ккал что примерно соответствует 4,3 тысяч тонн копченой колбасы (С) БАШ
Мой блог - http://vozerov.ru

Онлайн Morleys

  • Постоялец
  • ***
  • Сообщений: 375
  • Рейтинг: 12
  • Пол: Мужской
  • Мурр... Мяу!
    • morleys.ru
    • Просмотр профиля
  • Откуда: Питер!
Шара на этом серваке?
Ога!
Логины/пароли везде одинаковые?
Ну так домен, кагбэ...

Оффлайн Neonaft

  • Старожил
  • ****
  • Сообщений: 996
  • Рейтинг: 7
  • Пол: Мужской
  • Балбес по жизни
    • Просмотр профиля
  • Откуда: Москоу
гы. Есть 2 сети и с обеих нужно организовать чтение-запись. Как следствие 2-3 уровень тут не поможет.
Есть сеть и нужно организовать чтение-запись с учетом доступа по сети. Как следствие разделение прав тоже не поможет.
ИМХО Задача не имеет решения

Максимум что могу предложить это ярлыки общей шары не показывать на терминалке :)
Мощность ядерного взрыва равна 22030000000ккал что примерно соответствует 4,3 тысяч тонн копченой колбасы (С) БАШ
Мой блог - http://vozerov.ru

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
1. шара, доступная для всех на чтение-запись, но только из локалки.
2. шара, доступная для отдельной группы безопасности на запись, остальным для чтения в т.ч. и с терминальника
Шара где, на терминальнике?

Оффлайн Neonaft

  • Старожил
  • ****
  • Сообщений: 996
  • Рейтинг: 7
  • Пол: Мужской
  • Балбес по жизни
    • Просмотр профиля
  • Откуда: Москоу
Шара где, на терминальнике?
Читай выше, она на серваке с 2 сетевухами
Мощность ядерного взрыва равна 22030000000ккал что примерно соответствует 4,3 тысяч тонн копченой колбасы (С) БАШ
Мой блог - http://vozerov.ru

Онлайн Morleys

  • Постоялец
  • ***
  • Сообщений: 375
  • Рейтинг: 12
  • Пол: Мужской
  • Мурр... Мяу!
    • morleys.ru
    • Просмотр профиля
  • Откуда: Питер!
1. шара, доступная для всех на чтение-запись, но только из локалки.
2. шара, доступная для отдельной группы безопасности на запись, остальным для чтения в т.ч. и с терминальника
Шара где, на терминальнике?
Нет, на промежуточном сервере, видимом из обеих сетей.

Решил выкрутиться так:
1. На имеющемся сервере оставить только шару с ограниченным доступом
2. Поднять на нем виртуалку, для общих файлов. На фаерволе (или средствами vmware server) закрыть доступ к нему из DMZ-сети с терминальником.

Так вроде должно сработать!

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Нельзя
1. 192.168.100.5 - смотрит в пользовательскую локалку.
2. 192.168.0.5 - смотрит в "типа" DMZ в ЦОДе провайдера. Там же находится терминальный сервер, на котором все в основном и работают.
Необходимо обеспечить следующее:
1. шара, доступная для всех на чтение-запись, но только из локалки.
2. шара, доступная для отдельной группы безопасности на запись, остальным для чтения в т.ч. и с терминальника
Шару 1 разместить на сервере в локалке.
Шару 2 разместить на самом терминальнике и вообще ее шарой не делать, а только папкой. Так как все равно на нем все работают, то будут иметь доступ.
Права NTFS выдавать.
Так не пойдет?

Онлайн Morleys

  • Постоялец
  • ***
  • Сообщений: 375
  • Рейтинг: 12
  • Пол: Мужской
  • Мурр... Мяу!
    • morleys.ru
    • Просмотр профиля
  • Откуда: Питер!
Нельзя
1. 192.168.100.5 - смотрит в пользовательскую локалку.
2. 192.168.0.5 - смотрит в "типа" DMZ в ЦОДе провайдера. Там же находится терминальный сервер, на котором все в основном и работают.
Необходимо обеспечить следующее:
1. шара, доступная для всех на чтение-запись, но только из локалки.
2. шара, доступная для отдельной группы безопасности на запись, остальным для чтения в т.ч. и с терминальника
Шару 1 разместить на сервере в локалке.
Шару 2 разместить на самом терминальнике и вообще ее шарой не делать, а только папкой. Так как все равно на нем все работают, то будут иметь доступ.
Права NTFS выдавать.
Так не пойдет?
Тогда не будет возможности файл с терминальника скопировать на локальный компьютер, а она совершенно необходима группе лиц.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Тогда не будет возможности файл с терминальника скопировать на локальный компьютер, а она совершенно необходима группе лиц.
Через маппинг дисков средствами терминала.

Онлайн Morleys

  • Постоялец
  • ***
  • Сообщений: 375
  • Рейтинг: 12
  • Пол: Мужской
  • Мурр... Мяу!
    • morleys.ru
    • Просмотр профиля
  • Откуда: Питер!
Тогда не будет возможности файл с терминальника скопировать на локальный компьютер, а она совершенно необходима группе лиц.
Через маппинг дисков средствами терминала.
Я не сильно умею мапить диски по группам безопасности. Разве это на 2003 возможно?!? А по OU не покатит :(

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Я не сильно умею мапить диски по группам безопасности. Разве это на 2003 возможно?!?
Ну можно конечно, только через одно место, фильтрацию политик придется использовать, что некрасиво.
согласен, что подключать сетевые диски проще и правильней.

Оффлайн Dr.Night

  • Старожил
  • ****
  • Сообщений: 996
  • Рейтинг: 22
  • Пол: Мужской
    • mikhail.penkov
    • Просмотр профиля
  • Откуда: ( ω )
Тогда не будет возможности файл с терминальника скопировать на локальный компьютер, а она совершенно необходима группе лиц.
Через маппинг дисков средствами терминала.
Я не сильно умею мапить диски по группам безопасности. Разве это на 2003 возможно?!? А по OU не покатит :(
Аналогичную задачу решал. У меня был сервер с одной стетевой картой.

Сделал просто:
1) добавил на сететвую карту 2-й IP.
2) привязал terminal services configuration  подключение к первому IP
3) создал в terminal services configuration второе подключение, привязал его к второму IP
4) На первом подключении разрешаил мапинг дисков и в безопасности подключения разрешил коннектиться по нему только определенной группе
5) на втором подключении запретил мапинг дисков и разрешил коннектиться всем другой группе.

PS: помни, что буфер обмена надо закрывать точно так же, как и мапинг дисков. )) Ибо через него можно щапросто бинарник перегнать при большом желании ))
« Последнее редактирование: 21 декабря 2010, 15:11:18 от Dr.Night »
There are ten kinds of people in the world - those who understand binary and those who don't

Онлайн Morleys

  • Постоялец
  • ***
  • Сообщений: 375
  • Рейтинг: 12
  • Пол: Мужской
  • Мурр... Мяу!
    • morleys.ru
    • Просмотр профиля
  • Откуда: Питер!
Ну можно конечно, только через одно место, фильтрацию политик придется использовать, что некрасиво.
Дода - это слишком неочевидное решение, сложное в поддержке. После того, как один раз потратил несколько дней на разгребание чужой инфраструктуры с таким решениям, стараюсь его не использовать в продакшене!

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Тогда не будет возможности файл с терминальника скопировать на локальный компьютер, а она совершенно необходима группе лиц.

Через маппинг дисков средствами терминала.

Я не сильно умею мапить диски по группам безопасности. Разве это на 2003 возможно?!? А по OU не покатит :(
Можно выполнить разделение по группам безопасности, дав одной из групп возможность мапить диски на терминал, отняв такую возможность у других.
Для разделения необходимо будет создать еще одно "подключение RDP"
ila_rendered
и отобрать право на мапинг дисков для одного из "подключений".
ila_rendered
 
Затем на вкладке "Разрешения" для каждого из 2х имеющихся "подключений" дать право на подключение той или иной группе безопасности.
ila_rendered
 
ЗЫ Найт - опердун ;) В общем-то у меня тот же вариант, только вид сбоку (исключено шаманство с дополнительным IP, но добалено шаманство с. доп. подключением RDP)
« Последнее редактирование: 21 декабря 2010, 15:34:20 от shs »