Как запретить доступ к общим папкам в сети с сервера?
Добрый день, есть терминальный сервер, со всеми возможными ограничениями. Подключен через скрипт входа пользователя сетевой диск с курсами. Нужно как-то реализовать, что бы доступ к сетевому диску остался, а ко всем сетевым папкам на других компьютерах заблокировать. ( В данный момент можно провалиться в пк \\pc2\пример ). Если отключить через брандмауэр, то блокируется доступ к сетевому хранилищу тоже. Отключить нужно именно на сервере, а не у всех в GPO.
Сетевые папки на клиентских ПК или на сервере?
Или не сетевые папки ?
Доступ к папкам с клиентских ПК?
Из терминальных сессий с сервера?
С сервера на клиентских ПК?
Папки расшарены на сервере?
Или на клиентских ПК?
Входят ли компьютеры в домен ?
В общем както более подробно о конфигурации сети, чтобы получить более точный ответ.
aleks-th, Есть локальная сеть, в ней есть терминальный сервер, сетевое хранилище и рабочие машины пользователей. На терминальном сервере нужно заблокировать доступ в расшаренные папки рабочих машин пользователей, но оставить сетевой доступ к сетевому хранилищу.
Папки расшарены на клиентских ПК, в домен входят.
Тогда все просто.
Если компьютеры в домене.
Запретить группе терминальных пользователей доступ в локальные папки на компьютерах.
А на сетевом хранилище не запрещать.
Это можно сделать как вручную на каждом компьютере, так и через групповые политики.
То-есть запрещать доступ тут нужно не на сервере а на локальных шарах.
"Если отключить через брандмауэр" - видимо не правильно отключаете. Нужно правильно составить правило, которое будет разрешать с адреса сервера (или для конкретных групп или пользователей) доступ на определенный сервер и запрещать для остальных.
Самый правильный вариант, если у вас пользователи должны иметь доступы только на паре терминальный сервер и сетевой ресурс, это выполнить изоляцию на сетевом уровне.
Так же вы можете исключить пользователей из группы users и создать им полностью костомную конфигурацию безопасности. Но это все равно позволит им выполнять некоторые "обзорные" действия в домене, часть из них у них в любом случае сохраниться, поскольку они должны иметь права на чтения некоторых объектов домена.
