hint000, ну, что делать. Мое дело солдатское. Можете раскрыть схему, очень любопытно, тем более что "защита" такого вида - это скорее для продвинутых юзеров, а не для шпионов))
ахаха)) ну, это человеки повернутые на шпиономании и иже с ним. Ничего незаконного в деятельности фирмы по продаже автозапчастей нет. Разве что уборщицу на склад по ТК не оформили.)
Этот вариант в голову пришел сразу же, но... Хотелось бы сделать по другому, ибо в перспективе у нас будет на один, а два терминальных сервера в РФ, соответственно на сервере в Европе надо сделать так:
IP_ЗА_БУГРОМ:6088 > проброс на > IP_RDP_СЕРВЕРА_#1_В_РФ:3389
IP_ЗА_БУГРОМ:6099 > проброс на > IP_RDP_СЕРВЕРА_#2_В_РФ:3389
Sanes, о чем и речь... Я тоже в свое время был наивным чукотским мальчиком, который хотел "свое с блэкджеком и соответствующими девочками..." но все скатилось к 1С... тем более что нашлась хорошая отраслевка под наше хозяйство. Из доработок понадобилось только печатные формы документов переделать. Бегал по фриланс сайтам, в итоге плюнул и за вечер модифицировал конфу сам под свои задачи... Оказалось не так уж сложно.
...и все это превратится в бесконечный кошмар с доработками, сливом бабла, правками, глюками, простоями, слетами баз, потерей данных... нервы, нервы...
Проверено: самописный продукт - это такая параша, блудняк с неизвестным исходом. Лучше уж коробочное взять и чутка допилить, только и тут меру надо знать, иначе начнется вечная погоня за совершенством, с поисками его там где его нет и быть не может.
Пока ждал ответов допер: собственно на машине, где вертится сервер 1С я создаю такого же пользователя (напр. vasiliy.pupkin) с таким же паролем как на сервере терминалов, но разумеется отрубаю ему все и вся, то есть исключаю из групп. А в настройках конфигуратора 1С указываю \\имя_сервера_где_стоит_сервер_1С\vasiliy.pupkin.
Тогда авторизация Windows работает. Думаю что оставлю все как есть, ибо перепахивать структуру сети и вводить контролер доменов лень, некогда, да и нафиг надо такое хозяйство.
20ivs, спасибо всем за рекомендации, решилось следующим способом: поднял виртуальную машину и на нее залил pfSense, после чего сделал прокси squid с авторизацией. Все работает.
Дмитрий, да, извините, я нкорректно сформулировал: доступ к интернет должен быть, но ограничен пачкой определенных сайтов. Ну и особо привелегированному аккаунту RDP в котором сидит насяльника надо давать зайти в контактик) То есть еще и разделение ограничений в зависимости от пользователей/групп пользователей с какой-то наверное авторизацией через учетку Windows... о боже в какие дебри я лезу