Изоляция терминального сервера

superpalych

Местный
Регистрация
13 Мар 2006
Сообщения
81
Реакции
11
Credits
90
Имеется сеть. В сети:
40 рабочих станций: WinXP SP2, KAVclient, StatWinclient, DeviceLockclient (находятся под полным контролем).
2 ноутбука: WinXP SP2 и Vista (контроль не возможен).
1 шлюз: WinXP SP2, KWF, KMS.
1 главный сервер: Win2k3 SP2, AD, GP, DNS, KAVserver, StatWinserver, DeviceLockserver.
1 терминальный сервер: Win2k3 SP2, 1С, Office2k3.
1 управляемый коммутатор 2-го уровня D-Link 3550.
Необходимо
1. Все пользователи имели выход в интернет.
2. Ничего нельзя было вынести из терминального сервера за пределы офиса.
Путь решения, который Я вижу:
1. Создать два VLAN'a, добавив в один из них два ноутбука и шлюз, а в другой все рабочии станции, оба сервера и шлюз.
2. Запретить выход в Интернет с терминального сервера.
3. Запретить расшаривание ресурсов на рабочих станциях.
4. Запретить терминальным пользователям доступ к общим сетевым папкам.
Вопрос:
Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?
 

axlwor

Местный
Регистрация
29 Окт 2004
Сообщения
238
Реакции
34
Credits
0
1. Запрети http/mail/etc или вообще инет с терминального сервера по ip. (под рукой нет керио.... - не подскажу)
2. Дурацкий способ - отключи основной шлюз на терминальном серваке
 

okun

Местный
Регистрация
3 Май 2005
Сообщения
2,042
Реакции
2,996
Credits
0
+1 за конфигурацию :)

Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

Как быть с клиентскими принтерами?
 

superpalych

Местный
Регистрация
13 Мар 2006
Сообщения
81
Реакции
11
Credits
90
1. Запрети http/mail/etc или вообще инет с терминального сервера по ip. (под рукой нет керио.... - не подскажу)
2. Дурацкий способ - отключи основной шлюз на терминальном серваке
Это то понятно. Для чего, по твоему, стоит KWF?

+1 за конфигурацию :) Как быть с клиентскими принтерами?
В этом главная проблема: нужно пустить к принтерам, но не пускать к общим папкам, которые они могут создать на ноутбуках.
 

okun

Местный
Регистрация
3 Май 2005
Сообщения
2,042
Реакции
2,996
Credits
0
Можно запретить создание общих папок всем, в том числе и локальным админам, оставив это право админу домена. Единственное, тогда становится невозможным создание новых принтеров (хотя возможно, это у меня так).

Уже созданные папки ограничить в правах либо удалить, оставив их на файловом сервере.

Если контроль ноутбуков невозможен, тогда VLAN наверное будет верным решением.

Ещё вариант поставить на терминальном сервере пакетный файрвол, либо настроить встроенный.
 

superpalych

Местный
Регистрация
13 Мар 2006
Сообщения
81
Реакции
11
Credits
90
Можно запретить создание общих папок всем, в том числе и локальным админам, оставив это право админу домена. Единственное, тогда становится невозможным создание новых принтеров (хотя возможно, это у меня так).
Не являюсь я админом ноутбуков.

Уже созданные папки ограничить в правах либо удалить, оставив их на файловом сервере.
Сделано уже давно.

Если контроль ноутбуков невозможен, тогда VLAN наверное будет верным решением.
Я его рассматриваю, как резервный

Ещё вариант поставить на терминальном сервере пакетный файрвол, либо настроить встроенный.
Какой посоветуешь? Чтобы попроще и побыстрее.
 

okun

Местный
Регистрация
3 Май 2005
Сообщения
2,042
Реакции
2,996
Credits
0

SoftIce

Местный
Регистрация
11 Янв 2007
Сообщения
82
Реакции
15
Credits
144
А нельзя просто на терминальном сервере убрать шлюз по умолчанию или прописать на любой другой компьютер, но не шлюз.
Тогда выхода в инет с него не будет.