Ping-Admin.Ru

Автор Тема: Прошу совета по модернизации сети  (Прочитано 1145 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AlexW

  • Новичок
  • *
  • Сообщений: 4
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Прошу совета по модернизации сети
« : 19 Октября 2018, 15:17:22 »
Здравствуйте уважаемые посетители форума.  :)
Работаю неспешно сисадмином. Сеть настроена, все работает. Сейчас в плане расширение и модернизация.
Сетка, которая в данный момент, достаточно простая: КД, сервер 1С, файлопомойка и 20 рабочих станций, пять сетевых принтеров, плюс обычный свич. Интернет по оптике через роутер.
На серверах Вин2008 сервер, на компах Вин7.
После расширения будет порядка 50-60 компов. Скоро начинается ремонт в дополнительных помещениях и готовим ТЗ для монтажа коммуникаций.
Пришедший новый зам. директора по тех. части в сетях немного разбирается, по этому лапшу на уши не повесишь. В принципе всё вроде предусмотрели, но вот одно пожелание директора я пока не знаю как сделать. Он хочет, что бы было разделено на три уровня доступа. Первый - это руководство. Они должны видеть все  работающие компы в сети, а их самих чтоб не было видно. Вторая группа - они видят компы своей группы и группу что ниже. А компы в третьей группе, что бы не видели компы из первой и второй. Третью группу еще разделить на две подгруппы, что бы они видели компы только своей подгруппы. Я примерно представляю, что такая реализация возможна посредством VLAN. Но так как я с вланами не когда дело не имел (знаю только в теории как там), то возникают вопросы. К примеру: как будет раздавать ip-адреса dhcp сервер? Я же не могу создать одну vlan к примеру 192.168.0.1/24 а вторую 192.168.1.1/24. Или это не важно, а главное какой порт свича будет в этой vlan?
Либо другой вариант. На серверах будет вин2012 или вин2016. Насколько я знаю, там можно настраивать видимость компов с помощью DFS. Но даже если я настрою пути, то все равно при желании можно увидеть комп если набрать его сетевой адрес. Или как то можно закрыть?
Пока это основной вопрос, что нужно сделать. вот и прошу совета.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8345
  • Рейтинг: 83
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Прошу совета по модернизации сети
« Ответ #1 : 19 Октября 2018, 15:23:05 »
Они должны видеть все  работающие компы в сети, а их самих чтоб не было видно. Вторая группа - они видят компы своей группы и группу что ниже. А компы в третьей группе, что бы не видели компы из первой и второй. Третью группу еще разделить на две подгруппы, что бы они видели компы только своей подгруппы.
На черта им вообще компы эти нужны-то?


Updated: 19 October 2018, 15:24:22

И что значит "видеть"? В "сетевом окружении" что ли?

Оффлайн Gekko

  • Постоялец
  • ***
  • Сообщений: 151
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: UTC+3
Прошу совета по модернизации сети
« Ответ #2 : 19 Октября 2018, 15:35:36 »
Остановить на их компах браузинг что ли? Думаю - для обычных пользователей этого достаточно.
Зеленка понижает IQ всего IT подразделения. Не начинайте читать зеленку.

Оффлайн AlexW

  • Новичок
  • *
  • Сообщений: 4
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Прошу совета по модернизации сети
« Ответ #3 : 19 Октября 2018, 15:51:04 »
Цитата
На черта им вообще компы эти нужны-то?
Типа хотят видеть, что сотрудник на работе и работает.  :D

 
Цитата
И что значит "видеть"? В "сетевом окружении" что ли?
Пофиг как, главное чтоб было видно...типа компьютер Иванова включен, значит на работе.

Кроме того, в расшаренные ресурсы могут заходить только члены этой подсети.
Ну к примеру...бухгалтерия: компы этой подгруппы и соответственно расшареные ресурсы могут видеть только: директор, его замы и собственно сама бухгалтерия. Другие вообще их не должны даже видеть в сетевом окружении.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8345
  • Рейтинг: 83
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Прошу совета по модернизации сети
« Ответ #4 : 19 Октября 2018, 15:56:48 »
Но даже если я настрою пути, то все равно при желании можно увидеть комп если набрать его сетевой адрес. Или как то можно закрыть?
И что с того? Если прав доступа нет, то можно хоть обсмотреться на этот компьютер.


Updated: 19 October 2018, 15:59:28

Типа хотят видеть, что сотрудник на работе и работает.  :D
Офигеть показатель :facepalm2:

Ну к примеру...бухгалтерия: компы этой подгруппы и соответственно расшареные ресурсы могут видеть только: директор, его замы и собственно сама бухгалтерия.
Общие ресурсы не должны быть на компьютерах пользователей, а только на шарах на серверах. Там ваша "видимость" элементарно решается с помощью прав NTFS плюс Access-Based Enumeration (ABE).

Оффлайн AlexW

  • Новичок
  • *
  • Сообщений: 4
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Прошу совета по модернизации сети
« Ответ #5 : 19 Октября 2018, 16:22:50 »
Цитата
Общие ресурсы не должны быть на компьютерах пользователей, а только на шарах на серверах.
Ну как вариант.
Еще думаю отключить на всех компах "службу доступа к файлам и принтерам". Есть ли смысл?

И еще вопрос. Начальник хочет отдельный железный файрвол, а я предлагаю поставить комп и замутить на нем и фарвол и проксю. Или вообще только проксю, а файрволл поднять на роутере. А на сэкономленные деньги что то еще прикупить. Просто у нас фиксированная сумма, которую нужно распределить. Ему то хорошо, на нем только организационные мероприятия, а все технические на мне.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5903
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
Прошу совета по модернизации сети
« Ответ #6 : 19 Октября 2018, 16:40:26 »
Типа хотят видеть, что сотрудник на работе и работает.
Это шутка была или нет?



Updated: 19 October 2018, 16:41:36

хочет отдельный железный файрвол
Куда? Любой маршрутизатор нынче фаервол.


Updated: 19 October 2018, 16:42:19

Общие ресурсы не должны быть на компьютерах пользователей, а только на шарах на серверах. Там ваша "видимость" элементарно решается с помощью прав NTFS плюс Access-Based Enumeration (ABE).
+1, шареные локальные ресурсы пользователей это максимальный бред.



Updated: 19 October 2018, 16:43:27

И что с того? Если прав доступа нет, то можно хоть обсмотреться на этот компьютер.
+2, они будут видеть компьютер и даже допустим видеть шары, но зайти в них увы никак.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн AlexW

  • Новичок
  • *
  • Сообщений: 4
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Прошу совета по модернизации сети
« Ответ #7 : 19 Октября 2018, 17:28:57 »
Цитата
Это шутка была или нет?
Нет, не шутка. Так реально хочет руководство. Ну или почти так. Еще сами толком не знают, что хотят. Я пытаюсь что то обьяснить, но мы пока не пришли к общему решению.

Оффлайн Mornind

  • Пользователь
  • **
  • Сообщений: 75
  • Рейтинг: 0
  • Пол: Мужской
    • nik-bmp
    • morntweet
    • Просмотр профиля
  • Откуда: Санкт-Петербург
Прошу совета по модернизации сети
« Ответ #8 : 19 Октября 2018, 22:25:53 »
Типа хотят видеть, что сотрудник на работе и работает. 
погуглите программные комплексы, специально для такого дела предназначенные.
Еще сами толком не знают, что хотят
Так может, с этого и стоило бы начинать?  ;)
Объясните руководству, что какое ТЗ - такой и результат будет в конечном итоге

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8345
  • Рейтинг: 83
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Прошу совета по модернизации сети
« Ответ #9 : 19 Октября 2018, 22:57:44 »
Цитата
Это шутка была или нет?
Нет, не шутка. Так реально хочет руководство. Ну или почти так. Еще сами толком не знают, что хотят. Я пытаюсь что то обьяснить, но мы пока не пришли к общему решению.
Появление компьютера в сетевом окружении - это событие не совсем вероятное. Сетевое окружение - глючная и устаревшая технология. И ненужная. По нему бессмысленно смотреть даже наличие компьютера в сети. Тогда уж хотя бы Friendly Pinger поставьте, толку больше будет. Хотя никак не отразит работает ли сотрудник, а только доступен по сети его компьютер или нет.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5903
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
Прошу совета по модернизации сети
« Ответ #10 : 19 Октября 2018, 23:16:55 »
+1, от Вася включи мой комп  будь другом, до WOL
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн LongShort

  • Пользователь
  • **
  • Сообщений: 94
  • Рейтинг: 12
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: а вам зачем?
Прошу совета по модернизации сети
« Ответ #11 : 29 Октября 2018, 21:40:00 »
AlexW, "стахановец" вам в помощь, только вот потом не удивляйся что тебя вся контора будет ненавидеть  :D
О человечности выжившим в войне расскажет победитель.

Оффлайн Адамантий

  • Новичок
  • *
  • Сообщений: 3
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Россия
Прошу совета по модернизации сети
« Ответ #12 : 30 Октября 2018, 13:10:01 »
Они должны видеть все работающие компы в сети, а их самих чтоб не было видно.
Кикидлер, онлайн-мониторинг, скрытый режим https://www.kickidler.com/ru/online-monitoring.html Единственно, если у коллег есть локальные админские права, то они могут задетектить граббер или папку программы и у тебя будут проблемы. Надо чтобы было разделено на три уровня доступа. Все это возможно в программе. А вообще следить за людьми без их ведома по мне как-то мерзенько. Мы тоже мониторим сотрудников, но только с их письменного согласия.