Компьютер не в домене подключить к сетевой папке на доменном компьютере
Здравствуйте!
Прошу помочь по следующему вопросу.
Ситуация следующая:
имеем доменная сеть, Windows Server 2008 R2 и сеть вне домена. В доменной сети есть расшаренная папка. Из сети вне домена имеется доступ к папке в домене по учетной записи домена. В сети вне домена 10 ПК.
Доступ необходим только 4 пользователям.
Необходимо ограничить количество подключений к папке от имени пользователя!
Допустим есть учетка Петр Иванов - pivanov
Сам Петр уже подключился к папке.
Но вот второе подключение с этими же учетными данными с другого ПК должно быть запрещено.
Запрет должен быть именно по учетке!
Но вот второе подключение с этими же учетными данными с другого ПК должно быть запрещено. Запрет должен быть именно по учетке! » |
так не получится.
как вы будете определять, какое из подключений под одним и темже пользователем, правильное?
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
как вы будете определять, какое из подключений под одним и темже пользователем, правильное? |
vfilatov87, насколько я понимаю, такое не реализуемо в принципе в существующем протоколе.
Просто разъясните пользователям, что делиться друг с другом данными своих учётных записей — нельзя.
Теоретически, можно на журнал безопасности создать скрипт, который отрабатывает по коду события авторизации. В самом скрипте проверять какое это подключение за определённый промежуток времени. Если первое, то вносить в некий файл информацию об IP-адресе подключения. Если это подключение, которое превышает лимит, то дропать его, к примеру, через динамически изменяемое правило в брандмауэре, либо закрывать через команду powershell.
Но правильнее раздать каждому юзеру свои логин/пароль. Если, конечно, все эти ограничения преследуют не озвученную цель, достижение которой можно было сделать другим путём, а не этим ограничением количества подключений.
-------
Он был расстроенным трупом и потратил две минуты впустую.
Последний раз редактировалось paranoya, 02-02-2021 в 09:59 .
Запускается Консультант из расшаренной папки. Если пользователей в домене я могу ограничить политиками,
то вот как поступить с пользователями, которые не в домене?
Поэтому я обратился с таким неординарным вопросом.
- Завести каждому пользователю учётку в AD и пусть под ней они подключаются, вне зависимости от того, в домене компьютер или нет.
- Сделать группу безопасности, в которую включить всех пользователей, которым нужен доступ к Консультанту.
- Выдать этой группе права на чтение из папки с Консультантом.
- Дальше курить бамбук и всем, кто превышает квоту подключения к Консультанту, а не к серверу, предлагать пробежаться по отделам и попросить кого-нибудь закрыть Консультант. Или пусть пишут бумажку руководству на увеличение количества лицензий.
-------
Он был расстроенным трупом и потратил две минуты впустую.
paranoya, мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет.
Но хотелось бы услышать ваше мнение по этому поводу?
Неозвученная цель: Есть программа Консультант Плюс, лицензии у неё конкурентные. Лицензий мало. Пользователей много. » |
и?
цель так и не озвучена
Новые пользователи выкидывают старых, а вы хотите наоборот? - чтобы отклоняло новые подключения?
Или о чём речь?
мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет. » |
Неважно каким образом юзер запускает Консультант, последний все подключения пишет в свой файл. Я не помню точно, пишет он IP-адрес или нет, а вот логин юзера туда записывается.
Если RDP-подключение для одного юзера будет использоваться разными людьми с разных компьютеров, то вариантов два: первый - каждый новое подключение через RDP будет выбивать предыдущее, вариант два - новые подключение под тем же юзером просто не будут подключаться.
И в том, и в другом случае всё бессмысленно, ибо не будет четырёх подключенных пользователей Иванов, а будет только один.
Кроме этого, для RDP-подключений нужно поднимать сервер терминалов и покупать лицензии для четырёх людей, а это около 9 тыс. рублей на одного человека. Что возможно может сравниться со стоимостью увеличения количества лицензий для Консультанта.
Мало того, вариант с RDP ничем не лучше варианта заведения учёток в AD для каждого недоменного пользователя Консультанта, а даже хуже, исходя из затрат денег и времени.
станция info-pc пыталась зайти на мой комп в разшаренную папку Ниже журнал audita
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: info2
Домен учетной записи: INFO-PC
Сведения об ошибке:
Причина ошибки: Выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
Состояние: 0xc000015b
Подсостояние: 0x0
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: INFO-PC
Сетевой адрес источника: 192.168.100.233
Порт источника: 4018
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
---------------------------
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: Гость
Исходная рабочая станция: INFO-PC
Код ошибки: 0x0
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: info2
Исходная рабочая станция: INFO-PC
Код ошибки: 0xc0000064
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: info2
Домен учетной записи: INFO-PC
Сведения об ошибке:
Причина ошибки: Выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
Состояние: 0xc000015b
Подсостояние: 0x0
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: INFO-PC
Сетевой адрес источника: 192.168.100.233
Порт источника: 4018
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Имеется домен, в котором несколько DC (DC1, DC2 ..) и несколько обычных серверов (FS1, FS2 и т.д.), входящих в этот домен. На всех установлена Windows Server 2012 Datacenter либо Windows Server 2012 R2 Standard.
В сети есть компьютеры, которые не входят в домен, но учетки их пользователей заведены в AD.
На DC1, DC2 .. и FS1, FS2 .. есть папки, к которым открыт общий доступ. Разрешения - все на чтение и запись. В безопасности тоже всем разрешена запись и чтение.
Проблема следующая.
Если на компьютере, не входящем в домен, через проводник зайти на контроллер, например DC1, набрав в адресе "\\dс1", то мы сразу увидим общие ресурсы этого сервера dс1.
Но если в проводнике задать адрес не контроллера, а обычного сервера принадлежащего домену (задать в адресе "\\fs1", то возникнет окно с запросом логина и пароля.
Непонятно почему это происходит. Сервер FS1 входит в домен и по идее пользователям должен быть разрешен доступ к ресурсам этого сервера.
При этом если в окно ввести свой логин и пароль, то доступ открывается без проблем.
Ответы
Описываемое вами поведение - by design, и вы не преодолеете его, пока не введете компьютеры в домен. Когда недоменный компьютер, на котором локальный пользователь вошел в систему, подключается по сети к другому компьютеру, то он пытается аутентифицироваться на нем под своей локальной учетной записью, иными словами обращение идет к локальной базе SAM удаленного компьютера. Если там оказывается предусмотрительно созданный пользователь с тем же именем и паролем, то аутентификация происходит прозрачно, в ином случае следует запрос логина и пароля. При подключении к домен-контроллеру проверка происходит в отношении локальной копии доменной базы учетных записей (другой на домен-контроллере нет), и поэтому вам кажется, что пользователь успешно аутентифицируется в домене.
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 3 февраля 2016 г. 10:31
Вам уже достаточно подробно ответил osr_ - если Вы залогинены на не доменном компьютере под пользователем, для которого в домене существует "аналогичная" - с такими же именем и паролем - учётная запись, Вы попадёте на контроллер домена "прозрачно", потому что он аутентифицирует Вас в AD по этой учётной записи.
А вот любой компьютер/сервер - не контроллер домена - имеет локальную базу учётных записей (вне зависимости от того, в домене оно, или нет), и будет пытаться аутентифицировать вас по ней (локальной), а вовсе не в AD (а в AD только тогда, когда Вы явно укажите домен для аутентификации при вводе логина).
Для подключения с не доменных компьютеров к рядовым доменным системам, или заводите на каждой из них совпадающие учётные записи (также, как в одноранговой сети), или явно указывайте для подключения доменный эккаунт (когда/если спросят :)).
Может ли компьютер (не член домена) получить доступ к расшаренной папке на компьютере контроллера домена? Если да, то как это настроить? Помогите пожалуйста, только начинаю администрировать
Ессно, может.
Сделай следующее:
1. Жми "Пуск -> Администрирование -> Политика безопасности домена".
2. В этой оснастке: Параметры безопасности -> Локальные политики -> Назначение прав доступа
3. Кликай на политике "Доступ к компьютеру из сети"
4. Добавляй группу "Гости домена"
5. Кликай на политике "Отказ в доступе к компьюетру из сети", и если там есть группа "Гости домена", то убирай ее
6. Да. Если планируешь предоставлять доступ к ресурсам контроллера домена (а я думаю, что планируешь), то повтори вышеуказанное для оснастки "Политика безопасности контроллера домена" (находится там же, где и предыдущая).
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
хмм, политика по умолчанию пускает юзера из компа, который не в домене, появляется окошко, в котором вводишь название домена, логин и пароль.
-------
Чудес не бывает, бывают только глюки!
yager
сейчас у меня везде стоит "не определено", в политике "Отказ в доступе к компьюетру из сети" пусто
Dimas_83
да такое окошко появляется, только там есть поля для пользователя и пароля, я ввожу туда пользователя и пароль администратора домена:
пользователь: "mainad\sergey"
пароль: "******"
Нажимаю "ОК", а это окно снова появляется. и так бесконечно
Самое интересное, что с другого компьютера человек может войти в расшаренные папки
И еще чем отличается "домен" и "контроллер домена"?
В общем - Домен - некое логическое объединение компов, использующих единую политику безопасности.
Контроллер же домена - для win2* server - сервер, содержащий службу каталога (содержание объектов)
-------
Чудес не бывает, бывают только глюки!
даже список расшаренных папок не показывает, щелкаю на имени компьютера домена - сразу выдается запрос пользователя,
и дальше никак,
в чем еще может быть косяк?
опять, же, если это ДК, то по умолчанию туда могут логиниться тока админы..и то тока две учетки (вроде), но и тогда бы выскочило предупреждение
-------
Чудес не бывает, бывают только глюки!
Если знаешь имя шары на сервере, можешь попробовать сделать так:
net use z: \\servername\sharename Password /USER:domainname\username
где servername - имя сервера
sharename - имя шары на сервере
Password - пароль пользователя под которым хочешь подключиться
domainname - домен пользователя, под которым хочешь подключиться
username - имя пользователя, под которым хочешь подключиться.
Иногда использование этой команды помогало.
А вообще - такая же точно ситуация была, когда пытался получить доступ к серверу под учетной записью, которая была заблокирована (locked) - система просто тупо повторно просила ввести пароль и ничего не говорила.
Кстати, командочку рекомендую вводить через командную строку - чтобы можно было посмотреть на результат выполнения, в случае если там будет ошибка.
Может ли компьютер (не член домена) получить доступ к расшаренной папке на компьютере контроллера домена? Если да, то как это настроить? Помогите пожалуйста, только начинаю администрировать
Ессно, может.
Сделай следующее:
1. Жми "Пуск -> Администрирование -> Политика безопасности домена".
2. В этой оснастке: Параметры безопасности -> Локальные политики -> Назначение прав доступа
3. Кликай на политике "Доступ к компьютеру из сети"
4. Добавляй группу "Гости домена"
5. Кликай на политике "Отказ в доступе к компьюетру из сети", и если там есть группа "Гости домена", то убирай ее
6. Да. Если планируешь предоставлять доступ к ресурсам контроллера домена (а я думаю, что планируешь), то повтори вышеуказанное для оснастки "Политика безопасности контроллера домена" (находится там же, где и предыдущая).
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
хмм, политика по умолчанию пускает юзера из компа, который не в домене, появляется окошко, в котором вводишь название домена, логин и пароль.
-------
Чудес не бывает, бывают только глюки!
yager
сейчас у меня везде стоит "не определено", в политике "Отказ в доступе к компьюетру из сети" пусто
Dimas_83
да такое окошко появляется, только там есть поля для пользователя и пароля, я ввожу туда пользователя и пароль администратора домена:
пользователь: "mainad\sergey"
пароль: "******"
Нажимаю "ОК", а это окно снова появляется. и так бесконечно
Самое интересное, что с другого компьютера человек может войти в расшаренные папки
И еще чем отличается "домен" и "контроллер домена"?
В общем - Домен - некое логическое объединение компов, использующих единую политику безопасности.
Контроллер же домена - для win2* server - сервер, содержащий службу каталога (содержание объектов)
-------
Чудес не бывает, бывают только глюки!
даже список расшаренных папок не показывает, щелкаю на имени компьютера домена - сразу выдается запрос пользователя,
и дальше никак,
в чем еще может быть косяк?
опять, же, если это ДК, то по умолчанию туда могут логиниться тока админы..и то тока две учетки (вроде), но и тогда бы выскочило предупреждение
-------
Чудес не бывает, бывают только глюки!
Если знаешь имя шары на сервере, можешь попробовать сделать так:
net use z: \\servername\sharename Password /USER:domainname\username
где servername - имя сервера
sharename - имя шары на сервере
Password - пароль пользователя под которым хочешь подключиться
domainname - домен пользователя, под которым хочешь подключиться
username - имя пользователя, под которым хочешь подключиться.
Иногда использование этой команды помогало.
А вообще - такая же точно ситуация была, когда пытался получить доступ к серверу под учетной записью, которая была заблокирована (locked) - система просто тупо повторно просила ввести пароль и ничего не говорила.
Кстати, командочку рекомендую вводить через командную строку - чтобы можно было посмотреть на результат выполнения, в случае если там будет ошибка.
Читайте также: