@zionkv
Системный администратор Windows\Linux

Как защитить паролем доступ к сетевым ресурсам win?

Домен. Сервер 2008к2. По-умолчанию пользователи имеют доступ в общей папке через подключенный сетевой диск, или могут зайти, введя \\server\. Как в большинстве случаев у всех это и организованно.

Но функцию прозрачной авторизации нужно выключить, точнее так: если ПК заблокировался, то больше к сетевым ресурсам попасть без отдельного ввода пароля нельзя.

  1. Предлагали сделать OpenVPN до сервера по GUI+пароль без сертификата. В таком случае, как правильно организовать, чтобы была приличная скорость, и через VPN шел только трафик SMB, a не весь инет и остальное ПО?

  2. Видел в домене политики, которые отключают возможность авторизации сетевых ресурсов по NTLM, но не получилось. Даже если бы получилось - на какое время доступ остается разрешенным? До выхода пользователя? Не повлияет ли это на работу групповых политик?


Другими словами: Пользователь А узнал пароль входа пользователя Б, сел за его ПК, попал в его окружение, но доступ к сетевым ресурсам получить не может без второго пароля.
  • Вопрос задан
  • 1195 просмотров
Решения вопроса 1
Largo1
@Largo1
Айтишник далёкого плана
ну поднимите NAS на виртуалке или отдельно стоящий NAS - и изголяйтесь над правами пользунов.
пысы: NAS в домен не вводить) авторизация встроенная)
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
@yellowmew
Cloud infrastructure, monitoring engineer. SRE
если ПК заблокировался, то больше к сетевым ресурсам попасть без отдельного ввода пароля нельзя.

этот момент поподробнее?
Видел в домене политики
.
Так сеть одноранговая или?

Как правило, в одноранговой сети, делают доступ к сетевым ресурсам сервера учетным записям пользователей, созданным на сервере.
На клиентских местах подключать сетевые диски с использованием логина-пароля учетной записи с сервера.
При блокировке учетной записи пользователя на сервере доступ к папке, соответственно, тоже отключится.
Ответ написан
NeiroNx
@NeiroNx
Программист
Сделайте скрипты на события входа и выхода пользователя.
1.Если имя пользователя локальном пк совпадает с именем пользователя на удаленном пк то выбрав модель совместного доступа как "Обычная - пользователи удостоверяются как они сами" - то можно получать доступ к ресурсам без ввода пароля.
2. Использовать Active Directory(Домен) для управления политиками и правами.
Ответ написан
@nApoBo3
Расширяем ситуацию, пользователь а узнал оба пароля пользователя б. Что дальше? Три пароля?

Сделайте двухфакторную аутентификацию. Ключи пусть носят при себе, в компах не оставляют.
Можно даже сделать ключи с временными паролями, т.е. брелок который дает каждый раз новый пинкод.

Если нужно два пароля, поставьте не доменный файловый ресурс, и там ставьте другие пароли, но имхо это странное решение, зачем тогда домен?
Ответ написан
edinorog
@edinorog Куратор тега Windows
Троллей не кормить!
Может я тупой? Поправьте меня если что! Итак ... сидит работает юзверь в домене и ему доступны сетевые папки с доступом именно для его учетки. Он отошел и комп автоматически заблокировался через пару минут. Тут подходит злоумышленник и вводит подсмотренный пароль юзверя и попадает в винду. Для чего что-то обнулять то? Я не могу понять. Чтоб два раза один и тот же пароль вводить?)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы