Как запретить подключение по RDP к WinServ2008R2 определённому пользователю из интернета, после ввода логин\пароль?
В общем и целом, один из бухгалтеров попросила показать точку входа на сервер извне (другая так работает периодически), собсно я показал как подключиться и всё хорошо, но теперь руководство сказало отрезать доступ этому бухгалтеру от сервера извне. Одного юзверя отключить, второму оставить доступ + у нас ещё подключаются аудиторы к серверу и полностью закрывать доступ не вариант.
Интересует собственно вопрос : реально ли закрыть определённому пользователю доступ к серверу по RDP после ввода логина и пароля доступ, чтобы она работала только через "рабочий" комп, который собственно стоит на работе в кабинете ?
яндекс с гуглом уже курил, инфы в данный момент пока не нашёл. Помогите плес.
МБ как-то разрешить работу пользователю только с рабочего компа и запретить подключение всех остальных компов к этой учётной записи ?
Обновлено : или допустим этому пользователю разрешить работать на сервере только с 08:00 до 19:00
если пользователю разрешено подключаться к серверу терминалов через RDP, то ему разрешено это делать с любого устройства, которое способно к нему пробиться через таблицы маршрутизации и правила файервола.
либо запрещайте или ограничивайте доступ из интернета на сервер терминалов, либо используйте VPN для авторизации пользователей.
Тоша Марсик, пользователю - нет, это атрибут устройства, а не пользователя. устройству - можно, но как вы собираетесь управлять IP-адресами чужих домашних компов?
vreitech, хм, ну в самом сервере в настройках пользователя допустим дать только 1 статический айпишник, потом этот же статический айпишник прописать на компе принудительно. Так не будет работать ?
Тоша Марсик, нет, если пользователь подключается извне, скорей всего он подключается из-под NAT и ему выдается динамический IP провайдером. Вообще доступ по RDP извне во внутреннюю сеть это конечно плохой тон, как мне кажется.
Тоша Марсик, в настройках пользователя единственное место, где есть возможность указать что-то, связанное с IP-адресами - вкладка "входящие звонки". там, где галка "назначить статические адреса", можно указать IP-адрес, который будет получать этот пользователь, подключившись через VPN, организованный с помощью службы Windows Server RRAS. вот только к доступу на сервер терминалов прямого отношения это не имеет: всё-равно ограничивать доступ по IP придётся на каком-либо брандмауере, хотя бы на встроенном в тот же Windows Server на сервере терминалов.
если есть уверенность, что пользователь у себя дома не начнёт в VPN-подключении перебирать IP-адреса вручную, то, наверное, такой вариант годится.
vreitech, пользователь валенок, но я тоже не особо далеко ушёл, сейчас курю мануалы, нашёл такую штуку как ограничение работы пользователей по времени. реально ли сделать ограничение только для 1 пользователя ? SMB-служба что-ли
Тоша Марсик, реально. это делается при нажатии кнопки "время входа" во вкладке "учётная запись" в свойствах пользователя в оснастке "Пользователи и компьютеры Active Directory" и действует на все машины домена.
Я за VPN как дополнительное средство авторизации. С помощью ВПН вы легко сможете управлять доступом пользователей во внутреннюю сеть. Конечно, на ВПН нужно посадить всех, кто имеет доступ из вне. Прямой доступ запретить.
Кстати, теоретически авторизацию ВПН можно настроить через АД (ВПН не обязательно должен быть от микрософт и под винду, например, OpenVPN поддерживает LDAP авторизацию, так что его можно прикрутить к АД), и привязать, например, на вхождение пользователя в определенную группу. Тогда непосредственно ВПН сервер не нужно будет переконфигурировать каждый раз, когда изменяются права пользователей - достаточно включить пользователя в нужную группу. На ВПН я такую схему не пробовал, но на почтовиках работает отлично.
Посмотрите локальные политики безопасности - там по-моему есть возможность заблокировать логин. Правда скорее всего и локальный логин на сервер тоже заблокируется :)
в командной строке - lusrmgr.msc - после этого
Users - выбрать этого буха - Properties - Member Of - и если там есть группа "Remote Desktop Users" - стереть ее.
Средний
