Изоляция терминального сервера

superpalych

Member
Joined
Mar 13, 2006
Messages
81
Reaction score
11
Имеется сеть. В сети:
40 рабочих станций: WinXP SP2, KAVclient, StatWinclient, DeviceLockclient (находятся под полным контролем).
2 ноутбука: WinXP SP2 и Vista (контроль не возможен).
1 шлюз: WinXP SP2, KWF, KMS.
1 главный сервер: Win2k3 SP2, AD, GP, DNS, KAVserver, StatWinserver, DeviceLockserver.
1 терминальный сервер: Win2k3 SP2, 1С, Office2k3.
1 управляемый коммутатор 2-го уровня D-Link 3550.
Необходимо
1. Все пользователи имели выход в интернет.
2. Ничего нельзя было вынести из терминального сервера за пределы офиса.
Путь решения, который Я вижу:
1. Создать два VLAN'a, добавив в один из них два ноутбука и шлюз, а в другой все рабочии станции, оба сервера и шлюз.
2. Запретить выход в Интернет с терминального сервера.
3. Запретить расшаривание ресурсов на рабочих станциях.
4. Запретить терминальным пользователям доступ к общим сетевым папкам.
Вопрос:
Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?
 

axlwor

Member
Joined
Oct 28, 2004
Messages
238
Reaction score
34
Age
39
1. Запрети http/mail/etc или вообще инет с терминального сервера по ip. (под рукой нет керио.... - не подскажу)
2. Дурацкий способ - отключи основной шлюз на терминальном серваке
 

okun

Legendary
Joined
May 3, 2014
Messages
6,047
Reaction score
2,975
Deposit
$ 500
+1 за конфигурацию :)

Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

Как быть с клиентскими принтерами?
 

superpalych

Member
Joined
Mar 13, 2006
Messages
81
Reaction score
11
1. Запрети http/mail/etc или вообще инет с терминального сервера по ip. (под рукой нет керио.... - не подскажу)
2. Дурацкий способ - отключи основной шлюз на терминальном серваке
Это то понятно. Для чего, по твоему, стоит KWF?

+1 за конфигурацию :) Как быть с клиентскими принтерами?
В этом главная проблема: нужно пустить к принтерам, но не пускать к общим папкам, которые они могут создать на ноутбуках.
 

okun

Legendary
Joined
May 3, 2014
Messages
6,047
Reaction score
2,975
Deposit
$ 500
Можно запретить создание общих папок всем, в том числе и локальным админам, оставив это право админу домена. Единственное, тогда становится невозможным создание новых принтеров (хотя возможно, это у меня так).

Уже созданные папки ограничить в правах либо удалить, оставив их на файловом сервере.

Если контроль ноутбуков невозможен, тогда VLAN наверное будет верным решением.

Ещё вариант поставить на терминальном сервере пакетный файрвол, либо настроить встроенный.
 

superpalych

Member
Joined
Mar 13, 2006
Messages
81
Reaction score
11
Можно запретить создание общих папок всем, в том числе и локальным админам, оставив это право админу домена. Единственное, тогда становится невозможным создание новых принтеров (хотя возможно, это у меня так).
Не являюсь я админом ноутбуков.

Уже созданные папки ограничить в правах либо удалить, оставив их на файловом сервере.
Сделано уже давно.

Если контроль ноутбуков невозможен, тогда VLAN наверное будет верным решением.
Я его рассматриваю, как резервный

Ещё вариант поставить на терминальном сервере пакетный файрвол, либо настроить встроенный.
Какой посоветуешь? Чтобы попроще и побыстрее.
 

SoftIce

Member
Joined
Jan 11, 2007
Messages
82
Reaction score
15
Location
Баку
А нельзя просто на терминальном сервере убрать шлюз по умолчанию или прописать на любой другой компьютер, но не шлюз.
Тогда выхода в инет с него не будет.
 
Top