PDA

Bekijk Volledige Versie : Blocken met permissie's op netwerk



servertech
11/07/08, 00:23
Goededag allemaal,

We willen graag hetvolgende bereiken, met devolgende configuratie :

1x file/print server, is een windows2003 server.
1x terminal server, ook windows2003 server waarop clients werken via laptops, thinclient-terminals of op werkstations via RDP sessie.

Wat we graag willen, is dat de gebruikers niet via het normale netwerk de mogelijkheid hebben, om via de share's van de file/print server data te kopieeren van het bedrijfsnetwerk naar een usb-stick bijvoorbeeld.
Dus ik zat logischerwijs te denken, dat je op de share's dan permissie`s geeft, dat alleen een specifieke machine (de terminal server in kwestie) toegang kan krijgen tot de share`s met de onderliggende subdirectory's en files...
Alleen, als ik dit dus opzet, dan heb ik ook geen toegang meer (als normale user) om bij de data te komen :( ....
Hoe kunnen we het zo opzetten, dat als er mensen via het netwerk een laptop inprikken geen mogelijkheid hebben om data te kopieeren, maar dat alleen via de terminal server data kunnen inzien of aanmaken oid..

Alvast bedankt!!!
:rolleyes:

pierce
11/07/08, 00:27
Je probleem omschrijving kan duidelijker....

Zijn dat altijd dezelfde gebruikers?

gjtje
11/07/08, 00:56
Alle computers in een groep stoppen en die groep deny rechten geven op de share. Dan kan je de users toegang geven, deny gaat voor allow dus wanneer een user met toegang van een werkstation komt dat een deny heeft, dan komt hij er niet in.

servertech
11/07/08, 21:16
Hallo Pierce en Gjtje,

Ik ga volgende week dit direct toepassen wat Gjtje me zojuist vertelde.
Vermoedelijk is dit het antwoord waar ik naar op zoek was:).
Alleen, wat te doen, als er een 'vreemde' laptop (die dus niet is opgenomen in de groep) toegang probeert te verkrijgen naar de fileserver toe, deze zou dan theoretisch wel toegang krijgen (omdat hij niet in de computer-groep aanwezig is..) Is daar evt nog iets voor te fixen?

Verdere verdiepende uitleg voor Pierce;
Er zijn z'n 60 medewerkers die allen een laptop hebben. Op het moment dat ze op kantoor inloggen via een RDP server met hun laptop (er staan er een aantal servers, voor verschillende doeleinden) hebben ze ook de mogelijkheid om met \\ ip adres van de fileserver om bij de bestanden te komen. Nu is het niet wenselijk, dat er gebruikers eventueel data via de fileserver kopieeren naar hun laptop toe. Dus, de bestanden moeten alleen via de rdp sessie te raadplegen zijn, alleen als de user(s) zijn ingelogd op de terminal server.


Alvast bedankt !!!

gjtje
11/07/08, 21:45
Je zou je eens in NAC kunnen verdiepen, dat is onder andere hiervoor ontwikkeld. ;)

servertech
11/07/08, 21:52
Goedeavond,

Ik weet het, komt er een vreemd mac adres of bepaalde laptop/pc het netwerk op, kan je hem redirecten en bijvoorbeeld alleen http en https toegang verlenen zodat hij/zij de email kan uitlezen of bankzaken kan verrichten. Wellicht is dat nog een optie, alleen misschien een beetje te duur voor de klant... Hij wilt het via de active-directory (trachten) op te lossen.
Anyway, we kunnen het voorstellen natuurlijk :) ...

In ieder geval, een goede hin van je, thanks :D

marcussmit
14/07/08, 12:43
Wat jij zoekt is volgens mij afscherming op netwerkniveau. Het is een beetje administratie om alle bestaande 'vertrouwde' werkstations in dhcp bekend te maken, maar dan kun je wel een afscherming binnen je switches en routers (of nog mooier: firewall) maken om 'vreemde' werkstations buiten je fileshares te houden door alleen verbindingen naar de terminal servers mogelijk te maken.

Op je terminal servers moet je voor die specifieke gebruikers dan nog wel de rechten ontnemen om lokale schijven van de werkstations te gebruiken.

servertech
16/07/08, 12:35
Hallo Marcus,

Dat klinkt goed:).
Is het mogelijk, om je Microsoft DHCP server te koppelen aan een groep, dat iedereen die een ip daarvanaf krijgt dan geen toegang zou krijgen?
Zoja, dan heb je eigenlijk alle vliegen in 1 klap, want je geeft aan dat alleen via de terminal server gewerkt mag worden, en de rest standaard rechten DENY. Dat zou supers zijn.
Dat kunnen we wel eens uittesten.
Iemand ervaring hierin soms?


Alvast bedankt Marcus voor de hint!