Здравствуйте. У меня вопрос: Есть терминальный сервер, на котором сидят пользователи. У Терминального сервера есть сетевая карта под интернет канал. Если дать серверу канал, то его (интернет)видят все пользователи. Вопрос, как сделать, чтобы только конкретные пользователи могли использовать этот интернет канал, а остальные - нет?

Наш администратор говорит, что так сделать нереально. Моя задача проверить так ли это и узнать что об этом думают программисты.

а каким попой вы этот доступ разграничивать будете? у вас тут и шлюз, чтоль?

Ставим проксю, прямой выход запрещаем. На уровне прокси пользователям раздаём права.
Админа увольняем с волчьим билетом.
ТС... Ну тут опустим, а то и правда приедет морду бить, как же Миста без такого колоритного персонажа останется...

(2) ты слишком добрый

(1)нет. шлюза нет. но я верю в Софт.

(0) Нереально.
Стопудово зажмотили денег на оборудование, купили комп, а теперь требуют с админа на этом компе терминал, AD, 1С-сервер, SQL-сервер, разграничение инета и что бы всё летало!!!
Автор, отстань от админа и купи нормальное железо!
)))))))))

А так да, отдельный комп в качестве шлюза/прокси и режем по авторизованным пользователям

(2)ладно. я не буду приезжать бить морду. я же не злопамятный. просто вспыльчивый бываю, но быстро отхожу. ты не такой уж плохой.

(5)ванга из тебя никудышная. у нас серверная комната и несколько серверов. Но именно этот терминальный сервер не подключается к интернету изза того что админ говорит, что пользователей нельзя разграничить.

Через прокси можно разграничить, по логинам.

(7) Да ну что ты? Я ж иронизирую. Понятное дело, что не известно что у вас там. Оно ж может админ врет, что бы не напрягаться, может я прав и админ понимает, что это ему смерть будет. Терминалка, это авторизация пользователей, а раз так, то по пользователям и можно резать инет

просто изначально задача вот как стояла:

поставить в презентационой комнате огромный телевизор, который бы имел выход в интернет и на сам сервер, включая все документы и софт сервера.
Я предложил сразу же купит тонкий клиент и подсоединяться напрямую на сервер. Но потом я узнал, что админ сказал, что нельзя на сервере разраничить интернет, но я не поверил в это. Позвонил ему, а он говорит, что на винде такое невозможно. что типа сетевая карта общая, значит и канал общий.

(10) Хрень! При чем если поколдовать с доками, то можно разграничить вообще без дополнительного софта! Ведь нам известен пользователь и локальные сети. Все! в винде есть встроенный инструмент по управлению

(10) Расскажи своему админу, что между сетевой картой и юзером можно поставить прокладку в виде прокси.

можно политикой безопасности запретить отдельным пользователям запуск iexplore.exe. Правда пользователи могут догадаться и поставить другой браузер, но и это тоже можно ограничить политиками.

И тут мы плавно так возвращаемся к 2.й строчке из (2)...

(2)Ставим проксю, прямой выход запрещаем. На уровне прокси пользователям раздаём права.
- вы никогда не админили, раз "прокся" у вас как само собой разумеющееся в наличии на каждом сервере, притом сама по себе. Вы шлюз от прокси отличаете? Или у вас отдельно все?

(0)
У других же работает - значит можно

(7) Но именно этот терминальный сервер не подключается к интернету
- а пропустить не пробовали его в инет?

(0)
причем здесь тема "v8" ?

(11) Все! в винде есть встроенный инструмент по управлению
- ты крутой чувак.
Рулишь пользюками на уровне виндовой (sic!) маршрутизации.

+ 19 только инет здесь причем?

(0) Ты задолбал темы генерировать!

(15) Я отличаю шлюз от прокси. И понимаю, о чём говорю.
А про "само собой разумеющееся в наличии " - свои эротические фантазии оставь при себе.

(22) это у тебя эротические фантазии.
ты на уровне канала куда стучаться будешь? в проксю на 80 порт? или уже изобрел свою адресацию?

зачем ставить прокси, чтобы запретить? проще не ставить)
а так
http://technet.microsoft.com/ru-ru/library/cc985341.aspx

(19) Выдыхай! Я не успел написать, в (24) опередил

(23) Я никуда не буду. Будет броузер.

ну вот что он говорит:

это не будет работать по той причине что комп (сервер) будет в инете уже, прокси по сути просто раздает один канал на несколько пользователей т.е на сервере есть канал + прокси и на других компах кто укажет секретный пароль есть интернет - что сейчас и реализовано


18 февраля 2014 г., 15:59 пользователь paul ustuygov <atreidesp@gmail.com> написал:
Такс. а на сервере же можно прокси сервер программный поставить и каждый чел, кто знает секретный логин, бы выходил в интернет? или почему это бы не работало?
С Уважением Устюгов Павел Александрович

Некоторые терминальные сервера для "тонких" клиентов умели выдавать для каждой сессии свой Ip-адрес, но microsoft terminal такого не умеет.
Можно, конечно, поставить антивирус с FireWall и разрулить доступ по процессам, то есть дать определённым пользователям доступ на запуск определённых процессов, которые ходят в интернет, а всем остальным - дырку от бублика.

(28) И чем сторонняя софтина будет лучше групповых политик?

(29) В групповых политиках на уровне Tcp-соединений нельзя управлять - а если FireWall, то процесс может получать доступ к соединениям только если запущен под определённой учётной записью.

значит правильный ответ - это фаерволом запретить выходить в интернет

(30) Там можно ограничивать запуск приложений, менять настройки в ИЕ и запретить менять кому либо другому. Я понимаю, что у всех "доступ в инет", это пакеты, но не всем же надо полную схему. К тому же для полной схемы можно еще требовать цепочки для обработки пакетов. Если кто не знает. есть еще и адм ресурс, это когда всем внушается отрубание пальцев, если полезет в инет

(31) "огненные коровы" тоже разные бывают, но движение в правильном направлении.
Встроенный, например, процессы по пользователям делить не умеет.

(0) В новых виндовс вполне нормальный брандмауэр. Его можно переключить в режим блокирования, как входящих (по умолчанию включено), так и исходящих соединений для всех явно неразрешённых программ. Есть возможность открывать доступ к сети по логину или группе пользователя, это для тех программ которые должны работать в сети не для всех. И всё штатными средствами ОС.

знатоки, млть, будете файерволл с AD интегрировать?
(26) Я никуда не буду. Будет броузер.
- на канальном уровне? однако...

(34) Это в Windows 8 или Windows 2008 Server ?

(25)Управление параметрами браузера с помощью групповой политики
- пипец, ребята, у вас знания о сети на уровне работы браузера...

(34)это для тех программ которые должны работать в сети не для всех
- ога, ограничь им сеть вообще. А то никак не разберутся, что и куда и зачем.

похоже сис. админ победил.

что ты запретишь фаерволом ?
он привязан к порту или программе но не к пользователю внутри одной системы
GPO (групповые политики ) просто убьют сервер

(36) сейчас смотрел на сервер 2008R2, на Вин7 тоже должно быть похоже. Разумеется, можно ограничить диапазоны портов, компьютеры-ИП адреса, куда можно/нельзя подключаться и многое другое.

(39) ну и хорошо, купи андроид смарт тв свисток, гораздо больше фана + решение проблем презентаций с ноутов

(35) каком канальном? на канальном тебя в интернет ни кто не пустит (незадорого) )

(39) я запрещу файерволом все, что угодно.
только в работе пользователей домена в сети это никакого отношения не имеет.
И файерволл не "привязан" к порту, а к локальной машине. И всем её портам и сокетам.
(40)Разумеется, можно ограничить диапазоны портов
- всем рекомендую разобраться в теме сетевой безопасности более детально.

(40) Ну, Windows 7 - это не терминальный сервер - хотя там тоже может быть несколько пользователей одновременно.
Просто - если можно для одной программы на уровне пользователей - это замечательно (то есть по владельцу процесса) - остальное (порты, программы - это там уже есть).

(42)на канальном тебя в интернет ни кто не пустит
- хохо-хо, интернет - это не только и не сколько 80-й порт.
Начните изучать сеть с этого постулата.

(44) С пользователями похоже погорячился, но можно на уровне файловой системы закрыть доступ к программам, работающим с сетью. Возможно, придётся сделать копию бин папки 1С для пользователей без прав на интернет.
(43) у брандмауэра стоящего на сервере есть информация о процессах которые хотят выйти в сеть, и он может её использовать.

(45) далан) и как у Вас на канальном уровне маршрутизация устроена?

(46) Я про это и говорил, но, в стандартном - похоже - так и не допилили, чтобы это всё можно было настроить.
Просто, можно, конечно и правами в браузере рулить, но засланцы-то без браузера работают.

(47) а у вас на каком она?

Ограничить можно но Админ прав выж этот сервак своим тырнетом через день ложить будите.

(50) у вас терминал тож по 80 порту ходит?

(50) Хороший сервер AD-а не боится.
И GPO всю память не сожрёт.
Конечно, если кто-то не скупиться,
и по мощней машину соберёт.

(0)
squid + ntlm
Работает как в терминале, так и на отдельных машинах. Единственный минус - может у меня руки кривые, но иногда ни с того не с сего юзера перестаёт выпускать в инет и ему приходится перелогиниваться через веб на проксе. А так - обычная доменная авторизация по-умолчанию будет выпускать.
Вообщем глянь гугл, squid + ntlm + терминальный сервер
Можно кстати свид виндовой сборки поставить - но хз, я такой не пробовал :)

(53) Да, я тоже так делал на фрибзде.
Только у меня это не заработало

(52) Если не считать того, что контролёр домена кеширование винта отключает, ради себя любимого. После этого SQL на нём тормозит, а обратно его так просто не включить. Так что трудно придумать сочетание ролей сервера хуже.

(49) аж в вики сходил, на сетевом правильный ответ?
вообще админ не то чтобы прав, но ради непонятной хотелки - нефиг

Картинка из (0),(10) и (27):
1. Есть навороченный телевизор, который умеет ходить в инет (только как он сможет работать с документами на терминальном сервере?).
2. Есть терминальный сервер, для документов и работы с 1С.
3. Есть корпоративный файрволл для доступа в интернет.

И при чём тут выход в интернет с терминального сервера если телевизор по нему ходить умеет? Админ прав на 100% единая политика выхода в интернет через корпоративный файрволл для компов и напрямик с телевизора.

(55) с sql то как раз особо проблем не будет. у него своего кэширования по заглаза. А вот с сервером 1с и его любовью к темповым файлам...

Модераторы, уберите тему из "v8" в "Администрирование"

(53) сквида мало, "сквид не работает с протоколами кроме хттп" (с), ну или почти

(55) Позвольте, а где в (0) SQL - там, насколько я понимаю, терминальный сервер, с которого народ в интернет ходит.

http://www.redline-software.com/rus/support/docs/wingate/Version6features.php вот кстати виндовое решение.

===
Поддержка терминальных служб
Добавлена поддержка терминальных служб. Произведены изменения механизма разрешения комплексного использования одного IP-адреса. Это значит, что пользователи WinGate теперь могут определять управление доступом и политиками на пользовательском уровне для терминальных служб.
===

(62) Ой, я WinGate помню с того момента, когда доступ в Инте был по модему, и это "чудо" само номер набирало, если кто-то из сети пытался страницу открыть.

(0) Инет на терминале - зло. Лютое. Во-первых: вирусы, малварь и прочая хрень - поймал один, захлебнулись все, и не надо ля-ля о антивирусах и правах доступа. Во-вторых: ресурсы - тот же Скайп одной сессией отъедает 75-150 метров памяти, каждая страница браузера щас отдельный поток. Можно и в-третьих, и дальше...
Ты к терминалу с какого-то компа подключаешься - ну и лезь с этого компа в инет, нахрен тебе еще инет и в терминалке? Качать и обрабатывать что-то? Так качни на локальной машине и через примапленный диск забери на терминал.

(64) Есть момент, когда клиенты - терминалные коробочки, которые кроме RDP просто ничего вообще не умеют, а пользователям доступ в internet нужен.
Конечно, chrome или skype им не поставят, но вот старая "лисичка" вполне себе "бегала" в терминале.
Да и бэкапить этот "зверинец" с сервера намного проще, чем каждую машину в сети.

(65) Конечно, в (0) терминальные коробочки явно не покупали, так как их, почему-то, никто не любит.