Как ограничить браузинг сети?

[Kotstar]

Дано: Сеть примерно на 50 машин. Домен. DC - Win2K.
Надо: Шеф потребовал, чтобы с учебных классов нельзя было в прынципе залезть на машины подразделений. Иначе говоря разграничить сеть на 2 части. дабы друг друга не видели даже.

С какого конца взяься так и не нашел. В групповых политиках ничего стоящего не попалось. СОзданием нескольких подсетей тоже задачу решить не смог - или комп видит все машины в сети , или не видит даже DC.

[Borland]

Kotstar
Как раз-таки разделением на подсети задача и решается.
Просто DC должен быть в обоих подсетях (либо 2 сетевухи, либо 2 адреса на одной сетевой). Либо (что лучше) - учебный класс выделяется вообще в отдельную подсеть с отдельным доменом (и своим DC).

[iab1]

Варианты:
1. Использовать два (и более) домен-контроллера, как и сказал уважаемый Borland.
2. Реализация на одном домен-контроллере: ограничить возможности департаментов групповыми политиками. Департаменты "Директорат" и "ИТ", естественно, видят все. В качестве ужесточения: использовать Switch с поддержкой VLAN, т.е. выделить сеть учебных классов в свой VLAN. У меня работает именно такой вариант. Домен-контроллер присутствует во всех VLAN'ах.

[Cartman]

Перенес в Сети.

[Kotstar]

2 borland
а нельзя-ли подробнее про 2 сетевухи?
У меня при включении второй и попытке её задействовать, у DHCP почти мигом слетает крыша.

Посему:
нужен ли на DC мост и как его слелать на W2К?
Если включены 2 карты, нужно ли в свойствах соединений прописывать второе соединение в качестве шлюза?

В общем опиши конструкцию с 2мя сетевухами более- менее подробно, плз.

2 iab 1

"Департаменты" = "подразделения" ?

2 all

Можно ли одним DC управлять несколькими доменами?

[iab1]

Цитата:

Kotstar:
"Департаменты" = "подразделения" ?

Да

Цитата:

Kotstar:
Можно ли одним DC управлять несколькими доменами?

Нет

[Kotstar]

2 iab 1
сенкс.
Я в "пользователях и группах"создал подразделение, но оснастки которая бы позволяла назначать права на сеть не нашел. в GP тоже ничего похожего на глаза не попалось.
Через какие именно секции GP можно назначить эти права?

[iab1]

Вот картинка того, как Active Directory Users And Computers выглядит у меня в одной из фирм.
_http://img164.***************img164/330/aducgp4ne.jpg
В Group Policy попадаем по правому клику --> Properties.
В политиках монтируются прикладные диски (c прикладным ПО в зависимости от подразделения) из AD и личные папки\диски (тоже AD).
Внутри каждого департамента есть компьютеры, пользователи и группы этих пользователей (начальники, исполнители). Папкам в AD назначаются права доступа по группам в соответствии с технологией работы фирмы. Все, не входишь в группу доступа данного каталога - видишь только название каталога.

Теперь почему я упоминал про switch с поддержкой VLAN. У меня, например, пользователи Back office и Front office находятся в разных VLAN, т.е. увидеть компьютеры друг друга никак не могут. Естественно, некоторые компьютеры находятся во всех VLAN'ах (домен-контроллер, например).
Судя по первоначальной постановке задачи ("разграничить сеть на 2 части. дабы друг друга не видели даже"), вам это явно необходимо.

P.S. А для "сенкс" есть кнопочка "Репутация".

[Kotstar]

2 iab 1
Как политику прицепить понял. (не хотелось сдвигать группы с родных контейнеров, но через пару дней сам бы к этому пришел)

Подскажи еще, где в GP закрыть доступ к машинам из другой подсети.

[iab1]

Боюсь, что не очень понял вопрос.
Пользователи могут работать только с теми расшаренными ресурсами, к которым ты им дал доступ. Остальное они видят, но сделать ничего не могут, т.к. access denied.
А для невидимости компьютеров\подсетей друг другу я использую VLAN'ы.

Ограничивать доступ по сети через опцию GP, указанную на картинке ниже, я не пробовал.
_http://img150.***************img150/9981/adgpdafn9al.jpg

[Kotstar]

2 iab 1
Проблема такая:
1. у пользователей есть персональные папки расшареные на сервере, и монтирующиеся при входе как логический диск.
2. у некоторых груп пользователей есть аналогичные папки коллективного пользования.
3. некоторые недалекие люди расшаривают ресурсы своих машин.
4. начальство обеспокоеное конфиденциальностью документов потребовало от меня изолировать учебные классы от остальной сети. напрочь.

Я теперь ломаю голову, как сделать чтобы часть компютеров не видела другую часть и при этом видела сервер и свои персональные папки на сервере.

примерно так. за исключением того, что начальству бесполезно обьяснять как устроена система безопасности. Их точка зрения - "видит - значит может залезть". кроме того я не могу сообразить как через GP настроить доступ к ресурсам машин в сети. (править безопасность NTFS на всех жестких дисках - слишком геморойно)

[iab1]

Kotstar

Цитата:

Kotstar:
1. у пользователей есть персональные папки расшареные на сервере, и монтирующиеся при входе как логический диск.
2. у некоторых груп пользователей есть аналогичные папки коллективного пользования.

аналогично, только в AD есть дерево папок "Users" по подразделениям, у каждого подразделения есть своя папка [Shared], плюс есть корневая [Shared] (очень жалею, что последнюю завел - это дыра! достаточно было организации почты внутри домена).

Цитата:

Kotstar:
3. некоторые недалекие люди расшаривают ресурсы своих машин.

Как это возможно??? Я, конечно, проверю, но у меня в приведенном примере конкретной фирмы вот уже 3 года ни один пользователь не имеет административных прав! Ни один, включая директорат. Вот она, твоя проблема! Когда я ввел такие меры, было страшно и были вопли. Через месяц все стало идеально. В фирме только один человек имеет права домен-админа. Еще одна учетная запись домен-админа создана и ее логин-пароль хранятся в конверте в сейфе у ген директора на случай непредвиденных обстоятельств.

Цитата:

Kotstar:
4. начальство обеспокоеное конфиденциальностью документов потребовало от меня изолировать учебные классы от остальной сети. напрочь.
Я теперь ломаю голову, как сделать чтобы часть компютеров не видела другую часть и при этом видела сервер и свои персональные папки на сервере.
примерно так. за исключением того, что начальству бесполезно обьяснять как устроена система безопасности. Их точка зрения - "видит - значит может залезть".

Вижу только одно решение, помимо того, что все логинятся с пользовательскими правами. ВСЕ!
VLAN!!!
Ну обойдется это в покупку свича стоимостью максимум $150 США (это с web-интерфейсом). Но проблема "видимости" будет полностью закрыта!
Ну или вариант с несколькими домен-контроллерами, но это существенно дороже и сложнее в администрировании.

В общем, предлагаю так. Я сейчас на реабилитации после перелома ноги. Кстати, все администрируется удаленно. С 30-го июня буду недоступен. После 20 июля готов встретиться и все показать вживую.

Kotstar
По поводу "встретиться и все показать вживую".
Извини, увидел, что мы в разных городах.
Давай или до 30-го июня активнее общаться или после 20-го июля свяжемся. Придумаем, как тебе все подробнее в картинках показать.

[FantomIL]

Перенес в "Безопасность".

[alexey65536]

Я так понимаю, вам нужно сделать все на решениях МС ?
Если не обязательно, то, Имхо, здесь лучшее решение - поднять простой промежуточный маршрутизатор на *nix, через который пропустить учебный сегмент, и на котором разрулить все права и ограничения.

[Kotstar]

в итоге проблема решена, но появилась куча других проблем.

1. Сервер лег, посему был установлен win2003 сервер без пака.
2. поставил вторую сетевуху и тем разделил сети на 2 сегмента (192,168,0,х и 192,168,1,х)

итоги:
1.подсети видят сервер и не видят лишнего сегмента.
2.сервер слепой. браузинг сети видит только самого себя, рабочие станции браузингом не видят сервер, но если писать имя в явном виде (\\name .... \\ip_adres) все открывается.
3. DNS сошел с ума. области обратного просмотра я настроил, а основная область не хочет обновляться. и похоже иногда отдает ip чужого сегмента.

[Borland]

Недавно решал сходную задачу: нужно было пропустить одну машину через мой шлюз так, чтобы ни она не видела остальной сети, ни остальная сеть не видела её. При том, что адресное пространство единое (10.xx.0.0/16). Шлюз трогать нельзя - администрируется не мной.
Решение было найдено на аппаратном уровне - нарезкой VLAN'ов на свитче (BayStack 350T - древний, но надёжный) :
VLAN1 - входят 3 порта. 1 - роутер, 2 - "левый" комп, 3 - остальная сеть
VLAN2 - входят порты 1 и 2
VLAN3 - порты 1 и 3
На портах прописывается PVID (Primary VLAN ID), соответственно:
port1 - VLAN1
port2 - VLAN2
port3 - VLAN3

Результат: с порта 1 (роутера) видны моя сеть и "левая" машина;
с порта 2 виден роутер и всё, что за ним, моя сеть - не видна;
с порта 3 виден роутер и всё, что за ним, "левая" машина не видна.

В схеме задействовано всего 3 порта (коммутация сети у меня осуществляется другим оборудованием), но ничто не мешает задействовать аналогичным образом и все остальные порты свитча.

В вышеприведённом примере сервер вешается на порт1, подсети на порты 2 и 3 - и задача решена.

Задействование остальных портов:
VLAN1 - все порты
VLAN2 и VLAN3 - как удобнее, например порты 1-6 VLAN1, остальные VLAN2.
Порты с PVID 1 будут видны в обоих подсетях, порты с PVID 2 и 3 будут видны в своих VLAN и с портов с PVID1. Порты с PVID 2 не будут видеть портов с PVID 3.


Главный недостаток решения - управляемые свитчи такого класса весьма недёшевы...
Сейчас нашёл аналогичный девайс следующего поколения (BayStack 450T) в продаже по цене 289 у.е... _http://www.acomputer.ru/site/Site2.asp?id=2051

[Mg0]

Kotstar
Есть в NetBIOS'e такой параметр -- Scope ID называется. И машины с разными Scope ID друг друга в упор не видят, независимо от структуры IP сети.
Для Win9x и NT задается напрямую, для ХР, по-моему, можно задать в LMHOSTS или через nblookup. Подробнее см. http://support.microsoft.com/kb/830578/en-us

ИМХО, в твоем случае это самый простой способ.

Borland
Да и для твоей задачи проще этого "scope ID" решения не найти.

[Borland]

Цитата:

Mg0:
Да и для твоей задачи проще этого "scope ID" решения не найти.

У меня проблема не в "проще". На "чужой" машине админ отнюдь не я. И тем не менее я должен иметь абсолютно полную уверенность, что мою подсеть он не увидит (кроме роутера), как бы ни корёжил настройки...

Цитата:

Mg0:
машины с разными Scope ID друг друга в упор не видят, независимо от структуры IP сети.

Не видят в сетевом окружении. По IP прекрасно видят (если подсеть одна).
А свитч у меня уже около года на складе лежал. Почему бы не задействовать?

[Mg0]

Цитата:

Borland:
На "чужой" машине админ отнюдь не я.

Ну в таком случае, всё верно

Цитата:

Borland:
По IP прекрасно видят (если подсеть одна).

А то, что они по IP друг друга видят, никак не противоречит задаче Kotstar'a. Что по IP можно сделать? Ну, попинговать. Ну, время\дату узнать. И т.п. А SMB работать не будет.

[Borland]

Цитата:

Mg0:
Что по IP можно сделать? Ну, попинговать. Ну, время\дату узнать.

Угу. Ещё по RADmin или по VNC подключиться (если есть). Опять же telnet, ftp, RDP... Достаточно много сервисов, которые SMB не используют...