ANTICHAT - Ограничение доступа по rdp извне

ANTICHAT (https://forum.antichat.xyz/index.php)

- Windows (https://forum.antichat.xyz/forumdisplay.php?f=125)

- - Ограничение доступа по rdp извне (https://forum.antichat.xyz/showthread.php?t=1859848)

mdss	04.04.2011 09:23

Есть сервер терминалов.
Пользователи удаленно (в локалке) работают на нем по протоколу rdp. Некоторым пользователям нужен доступ к серверу извне.
Вопрос как ограничить доступ, разрешив подключаться только определенным пользователям?

В интернете путной инфы не нарыл. Может можно как-нибудь разрешить доступ извне только определенной группе пользователей?

o_nix

04.04.2011 09:38

Цитата:

Add users to the Remote Desktop Users group

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

To add users to the Remote Desktop Users group
Open Computer Management.

In the console tree, click the Local Users and Groups node.

In the details pane, double-click the Groups folder.

Double-click Remote Desktop Users, and then click Add....

On the Select Users dialog box, click Locations... to specify the search location.

Click Object Types... to specify the types of objects you want to search for.

Type the name you want to add in the Enter the object names to select (examples box.

Click Check Names.

When the name is located, click OK.

Notes
By default, the Remote Desktop Users group is not populated. You must decide which users and groups should have permission to log on remotely, and then manually add them to the group.

To open Computer Management, click Start, click Control Panel, double-click Administrative Tools, and then double-click Computer Management.

Для просмотра скрытого содержимого необходимо иметь 5 сообщений, у вас 0 сообщений.

mdss	04.04.2011 09:46

это добавление пользователей имеющих доступ. Из локалки и так щас все доступ имеют (впрочем как и извне), а вот как ограничить извне неясно

z0nata

04.04.2011 10:28

В правилах фаервола разрешить определенные диапазоны ip адресов.

o_nix

04.04.2011 10:52

mdss
домен есть ?? какбы если комп не в домене то его не будет пускать.

еслиже нужно напроч отгородиться от внешки попробуй на сетевом оборудовании nat настроить чтоб из внешки rdp порт был недоступен.
тоесть сделать это средствами не винды а сетевого оборудования.

ну или фаерволом в самой винде - но это изврат.

Для просмотра скрытого содержимого необходимо иметь 5 сообщений, у вас 0 сообщений.

mdss	04.04.2011 11:14

Цитата:

z0nata написал(а):

В правилах фаервола разрешить определенные диапазоны ip адресов.

не вариант. Провайдеры разные. Да и неизвестно с какого диапазона выход будет. Мож в командировке в Челябинске я буду, а может в Сыктывкаре

Цитата:

o_nix написал(а):

mdss
домен есть ?? какбы если комп не в домене то его не будет пускать.
еслиже нужно напроч отгородиться от внешки попробуй на сетевом оборудовании nat настроить чтоб из внешки rdp порт был недоступен.
тоесть сделать это средствами не винды а сетевого оборудования.
ну или фаерволом в самой винде - но это изврат.
*** скрытое содержание ***

нужно не отгородиться от внешки, а разрешить из внешки доступ только определенным пользователям. Домена нет.

o_nix

04.04.2011 11:30

то есть если на русский лаконичный перевести
тебе нужно чтобы локальные юзеры rdp имели доступ только с локалки и не могли со внешних ip коннектица для управления, но при этом чтобы админы могли коннектица с любого ip ??

если так то я хз даже как гуглить
как бы дополнительная авторизация получается нужна.
если этого нет в групповой политике то возможно поможет заведение отдельного порта rdp для админов (не знаю возможно ли повесить rdp для прослушки двух портов)

mdss	04.04.2011 11:35

Цитата:

o_nix написал(а):

то есть если на русский лаконичный перевести
тебе нужно чтобы локальные юзеры rdp имели доступ только с локалки и не могли со внешних ip коннектица для управления, но при этом чтобы админы могли коннектица с любого ip ??
если так то я хз даже как гуглить

сложность в том, чтобы не только админы, но и некоторые другие пользователи. Например главбух не входит в группу Администраторы, но ей тоже нужен доступ с внешки. Вот такая вот задача неординарная

o_nix

04.04.2011 12:19

придумал
1. совсем запретить коннект rdp со внешних ip
2. поднять на томже сервере vpn
3. админ или главбух коннектица к vpn а потом находясь в локальной сети со своими сетевыми правами коннектица к rdp

Изврат но на 100% рабочий.

Asergey

25.10.2011 01:48

1. Сделать так что бы сервер кому попало не был доступен из вне.
2. Реализовать vpn на чем угодно.
3. Научить бухов настраивать vpn и запоминать пароли с логинами
Получится 2 авторизации, vpn - даст доступ из внешней сети только тем кому надо, авторизация людей входящий в локал груп RDP на серваке даст возможность RDP.

mdss	25.10.2011 08:36

сейчас так и сделано, не очень удобно.

Время: 21:23