У меня есть два подрядчика, которым нужен доступ к нашему LOB-приложению SQL. Они будут подключаться через VPN к маршрутизатору, который аутентифицируется через RADIUS на DC. Итак, два рассматриваемых сервера - это контроллеры домена. Созданные пользователи входят в группу безопасности - Пользователи VPN. Единственные права безопасности, связанные с этой группой, - это доступ по телефонной линии.
На бумаге это должно быть просто. Ложка дегтя в том, что, возможно, 75% разрешений на общие ресурсы на этих серверах включают полный доступ для прошедших проверку пользователей. Не спрашивайте, почему, и нет никаких шансов исправить это на данный момент.
SQL живет на DC2, но настройки ODBC в клиентском программном обеспечении исключают любую необходимость аутентификации домена. Итак, все, что мне нужно, - это запретить этим пользователям VPN просматривать сеть в поисках общих ресурсов и получать к ним доступ.
Я пробовал установить «Запретить доступ из сети» в политике безопасности DC, но это, похоже, не помогло.
Для информации: Оба сервера соответствуют стандарту W2003 SP2. Клиенты будут использовать XP / Vista.
TIA
Есть ли шанс завершить VPN в DMZ вместо LAN? Если это так, то вы можете пробить дыру через DMZ -> LAN на порту 1433 для вашего SQL-сервера.
Если бы это был я, я бы не хотел, чтобы кто-либо, чей компьютер не обслуживается моей компанией, был в сети моей компании. Таким образом, причина для помещения их в собственную демилитаризованную зону. Что, если они заразятся вирусом или станут частью сети спам-ботов и начнут рассылать спам через VPN-туннель через ваше Интернет-соединение. Для параноика существует множество страшных сценариев. :-)
Спасибо всем. Единственный метод, который я смог использовать, - это предоставить этому пользователю права запрета на все акции. Немного больно, но не было времени, так сказать, изобретать колесо заново
Может быть, добавить их в правила безопасности на дисках, где на серверах живут общие ресурсы? Запрещающие правила всегда имеют приоритет над любыми разрешенными правилами.