Действительно ли возможно справиться с доступом к файловой системе на компьютер (или на контейнер)?
SSL требует одного IP на vhost с более старыми браузерами, так наличие нескольких IP-адресов позволяет Вам размещать несколько сайтов HTTPS.
Несколько дюйм/с мог также сделать управление трафиком легче в зависимости от того, как Вы выделяете имена/сервисы DNS между ними. Вы могли помочь переместить сервис в другую машину или применить ratelimit/firewall ко всего одному IP.
Это - одна из тех интересных областей, которые не соответствуют примеру использования, о котором Microsoft думала с операционной системой Windows.
Полномочия NTFS не имеют никакой функциональности связанной с присваивающимся разрешением на основе компьютера, к которому это получает доступ кроме очень грубого приближения с помощью "ИНТЕРАКТИВНЫХ" или "СЕТЕВЫХ" известных идентификаторов безопасности (SIDs). Пользователь, получающий доступ к конкретному ресурсу, используется в решении контроля доступа, независимо от компьютера, от которого была получена попытка доступа.
Если Вы захотите "фиксацию" на основе Групповой политики, то я предложу ужасное обходное решение. Это является субоптимальным, но это выполнит то, что Вы ищете. (Это очень быстро и грязно. В частности, это - действительно не хорошая форма для засовывания GPOS наверху домена без разбора, потому что в целом Вы хотите, чтобы самое маленькое количество GPOS относилось к данному компьютеру или пользователю для ускорения приложения Групповой политики.)
Создайте глобальную группу безопасности, названную, скажем, "Чувствительные Учетные записи компьютера" в Active Directory. Сделайте все учетные записи компьютера, где "Чувствительный" доступ будет выполненными членами этой группы.
Создайте глобальную группу безопасности, названную, скажем, "Чувствительные Учетные записи пользователей" в Active Directory.
Создайте учетные записи дополнительного пользователя в Active Directory для всех людей, которые будут выполнять "чувствительные" операции. Сделайте всех этих членов учетных записей пользователей "Чувствительных Учетных записей пользователей" группой.
Создайте и свяжитесь, GPO наверху Active Directory, названного ", Ограничивают Чувствительные Входы в систему Учетной записи пользователя". В этом GPO направляйтесь в "Конфигурацию компьютера", "Windows Settings", "Локальные политики", и "Пользовательское Присвоение Прав". Найдите, "Отклоняют вход в систему локально" (и, если Вы являетесь так склонными и параноидальными, "Отклоняют вход в систему как услуга", и "Отклоняют вход в систему как пакетное задание"), установка, и добавьте "группу" Учетных записей пользователей DOMAIN\Sensitive к установке. (Это предполагает, что Вы не используете ни одной из этих политик в настоящее время на более низких уровнях AD. В Active Directory запаса в W2K-W2K8 это было бы верно.)
Измените полномочия, "Ограничивают Чувствительные Входы в систему Учетной записи пользователя" GPO путем добавления, что "Чувствительные Учетные записи компьютера" группа с "Отклоняют / Применяют Групповую политику" разрешение.
Примените полномочия NTFS к папкам, где "Чувствительные" файлы хранятся, чтобы позволить только членам "Чувствительных Учетных записей пользователей" групповой доступ. (Это - осуществление, оставленное до плаката...),
Это заставит "Чувствительные Учетные записи пользователей" мочь войти в систему локально только к компьютерам, которые называют в "Чувствительных Учетных записях компьютера" группой. Таким образом можно предотвратить доступ к папкам, содержащим "Чувствительные" файлы, потому что Вы установите полномочия ограничить доступ к этим папкам только к "Чувствительным Учетным записям пользователей" (который может только войти в систему к "Чувствительным Учетным записям компьютера" компьютеры.)
Наличие вторичных счетов на пользователей действительно, действительно ужасно. Так как Вы хотите сделать что-то, что Microsoft не разработала операционную систему для, однако, необходимо сделать что-то ужасное для обхождения встроенных ограничений.
Другой, все еще потенциально ужасное, но осуществимое решение, должен был бы разместить эти совместно используемые папки с сервером Samba. Samba, с помощью "хостов позволяет" параметр конфигурации, действительно имеет механизм для ограничения доступа к совместно используемым папкам и на основе разрешения пользователя и на основе исходного компьютера, из которого прибывает доступ. Если Вы не в наличие *, отклоняют - базирующееся заседание сервера (фактически, возможно), хотя, эта альтернатива делает Вас мало пользы.
-
1+1; грязный как ад, но это достигнет результата. Другая опция могла бы быть выделенным файловым сервером для этих людей с ACLs на порте коммутатора. Так или иначе it' s создание ужасного прецедента. – Maximus Minimus 9 November 2009 в 01:36
-
2@mh: Я стремлюсь понравиться, даже если результатом будет неуправляемый кошмар. Реалистический ответ был бы " Клиент - что Вы хотите, собирается создать дорогую путаницу. Возможно, мы можем разработать что-то меньше за пределами области конструктивных ограничений систем you' использование " ре; Если это имело , чтобы быть этим путем I' d идут путем сервера Samba. (Это - один из тех случаев, где порт Win32 Samba был бы интересен... heh heh. Идея Samba на Win32 заставляет меня хихикать и хихикать и хихикать...), – Evan Anderson 9 November 2009 в 03:03
-
3Ничего себе. Кто-то портировал Samba к CYGWIN: smithii.com/node/23 – Evan Anderson 9 November 2009 в 03:17
-
4@Evan: верьте мне, я на борту с Вами пытающийся говорить эти парни из него. Я просто хотел план резервного копирования, если они решают пихнуть это вниз мое горло. – cottsak 9 November 2009 в 07:14
-
5@Evan: Согласованный, это является вонючим. Я нашел в Редакторе GPO это - Компьютерная Конфигурация > Windows > безопасность > Файловая система †“это кажется здесь, можно ли применить компьютерный GPO, который добавляет полномочия файла к папке от GP - это собирается помочь мне? – cottsak 9 November 2009 в 07:15
Это. Необходимо взглянуть на ACLs. Это Списки управления доступом для файлов и каталоги. Они - дополнительный слой разрешения сверху стандартных полномочий файла Unix.
-
1Вы могли указать на меня на некоторый большой ACL doco для доменов окон? – cottsak 8 November 2009 в 19:39
Вы используете Групповые политики? Можно установить полномочия NTFS для групп, использующих групповые политики (GPOS), и затем просто применить тот GPO к определенному AD OU.
-
1
-
2Используя расширение безопасности групповой политики для установки полномочий файловой системы на файловых серверах походит на неправильное использование технологии. Несомненно, it' работа ll. Так будет использование отвертки для обстрела гвоздей, если you' достаточно персистентное ре. Однако с помощью только NTFS ACLs won' t выполняют то, что ищет плакат. – Evan Anderson 9 November 2009 в 03:06
-
3@Evan: когда Вы говорите ".. использование - только NTFS ACLs.." - это означает, что могло бы работать, если я установил соответствующие полномочия NTFS на папке-before-, я применяю дополнительные полномочия с GPO? – cottsak 9 November 2009 в 07:17
-
4@Evan - верный, но когда я ответил, не было никакого упоминания о серверах в вопросе. Это казалось, что была группа ПК, которые у каждого была конкретная папка на них то необходимое обеспечение. Используя GPOS для осуществления защиты файловой системы на клиентах довольно стандартная вещь сделать, много людей делает это, чтобы гарантировать, что вещи как папки Program Files заблокированы вниз правильно, пока определенные подпапки для плохо записанных приложений открыты до определенных групп и т.д. – GAThrawn 9 November 2009 в 12:42
-
5@GAThrawn: Я приехал к стороне немного поздно и получил вопрос после того, как редактирование поставилось. – Evan Anderson 9 November 2009 в 15:32
Где эти папки на компьютерах в комнате или на серверах в Вашей сети где-нибудь?
Посылка № 1 | Ограничивает доступ к сетевым ресурсам
"определенные папки" - я предполагаю, что эти папки являются сетевыми ресурсами, и что Вы не хотите, чтобы у пользователей машин в OU был доступ к этим (общим) папкам. То есть "группа" здесь определяется теми, которые имеют физический доступ к компьютерам в комнате, как пользователи в публичной библиотеке или чем-то.
В этом случае...
Вы делаете его неправильно
Обычный метод должен ограничить доступ к группам пользователей, а не машин, как это редко, что машины (которые имеют их собственные учетные записи в AD) файл доступа совместно используют acoss сеть. Случаи, где они действительно включают долю SYSVOL, где GPOS находятся, или устанавливают доли для присвоенных приложений.
- Установите полномочия NTFS на папках на серверах, чтобы отклонить (или не включать) те пользователи, которых Вы хотите не пустить.
- Можно также установить Совместное использование полномочий отклонить (или не включать) те пользователи, которых Вы хотите не пустить. Но а также, не вместо, (1).
- Доступ к этим папкам не может быть (поскольку в "не должен быть"), определенный, которой машиной Вы используете, а скорее кто Вы, который Вы установили путем входа домена.
Посылка № 2 | Ограничивает доступ к локальным папкам
"определенные папки" - здесь я предполагаю, что эти папки находятся в локальной файловой системе каждого компьютера. Возможно, существуют некоторые файлы в C:\Install\ то, что Вы не хотите пользователей, копирующих в их карты с интерфейсом USB, например.
Групповая политика допускает политики файловой системы,
Edit GPO > Computer Configuration > Windows Settings > Security Settings > File System
Сначала добавьте папку C:\Install, затем выберите Properties и измените полномочия NTFS отклонить (или не включать) пользователи, которых Вы хотите заблокировать. Тест сначала. Много. Я не уверен, но я думаю, что Вы будете перезаписывать (не добавляющий к) NTFS permissons, Отклонить, пригождается здесь.
Можно также скрыться целый, проезжает Групповая политика, которая была бы полезна, если бы Вы сохранили свои ограниченные файлы на D:\, то пользователи не видели бы диск - я не уверен, насколько устойчивый это, но это популярно в средах SoftGrid и терминальном сервере.
Локально зарегистрированного пользователя звонят INTERACTIVE, между прочим. И это имя пользователя локализуется, если Ваша ОС не является английской.
-
1На основе моих комментариев выше его кажется что Ваш " Посылка № 1" применяется. Возможно, я wasn' t очищаются в вопросе - мне действительно настраивали группы для управления, какие пользователи получают доступ к доле сервера и как они получают доступ к нему. - кроме того, я хочу справиться, на которых компьютерах упомянутые пользователи могут получить доступ к этой доле. – cottsak 8 November 2009 в 19:57
Ограничение компьютерами просто не походит на прекрасную идею. Я отчасти получаю то, чего Вы хотите достигнуть, и - если я угадываю - я думаю, что у Вас есть некоторые уязвимые данные (как записи HR или подобный), что Вы хотите окончательно заблокировать вниз соответствующему штату, даже если это вплоть до блокировки Ваших администраторов из него.
Я думаю, что нам действительно нужно больше информации о том, что Ваша цель здесь, и я думаю, что отстранение и фокусирование на том, чего Вы хотите достигнуть, а не как Вы хотите достигнуть его, могли бы быть полезным осуществлением.
Если я прав в своем предположении, также необходимо думать о дальнейших последствиях выполнения этого, с точки зрения того, как оно собирается вмешаться в резервное копирование и восстановление, и с точки зрения того, кто теперь собирается управлять доступом к этим папкам.
Это кажется, что Вы сегментировали бы сеть и заблокировали бы такой трафик отовсюду кроме из позволенных комнат...
-
1Это звучит хорошим в теории, но думайте о том, на что был бы похож ACL. Кадры Ethernet don' t имеют " комната я приехал from" поле. You' ll имеют к VLAN или выделенной подсети IP для того, что хочет OP. Он говорит he' s размещающий эти файлы на DC, таким образом, что-либо, что ограничивает трафик SMB DC, на самом деле правильно так или иначе (так как другие клиенты могли бы использовать его для обновления GPO, сценариев входа в систему, и т.д.). Откладывание этого и высказывание этого he' ll размещают файлы на выделенном файловом сервере, записи в Windows Firewall на том поле для исключения трафика от всех кроме данной подсети кажется легче, чем ACLs на переключателе. – Evan Anderson 9 November 2009 в 03:10
-
2Даже если бы я знал, как сделать это, я сказал бы управление что я didn' t. – cottsak 9 November 2009 в 07:18
-
3Я пропустил часть о файлах, размещаемых на DC... за исключением этого, я думаю, что это было бы легкое, и звуковое понятие только к сегментируют сети от ^^, Где фактический ACL затем был бы расположен, на хосте или в маршрутизаторе, имеет меньше значения и возможно больше, чтобы быть решенным известными навыками реализатора... – Oskar Duveborn 9 November 2009 в 11:35
Если людям, входящим в систему за пределами OU do not, нужен доступ для чтения к папкам, можно настроить сетевой диск, который только отображается, когда кто-то входит в компьютер w/in OU. Это не будет препятствовать тому, чтобы другие добрались до него, если они будут знать путь UNC, но если Ваши пользователи будут похожи на наших, то это добьется цели. Это также зависит от рассматриваемых папок не быть вложенным в других частях Ваших долей файла, до которых должны добраться нормальные люди.
ETA:
Доступ в комнату, ограниченную таким способом, которым Вы могли использовать тот список для ограничения сетевого ресурса?
-
1мысль об этом. даже tho, который риск пользователей, знающих пути UNC, является низким для архивирования, администратор, захочет защищенный, таким образом, я должен буду действительно ограничить доступ к файловой системе. спасибо tho – cottsak 8 November 2009 в 19:42
-
2