kromanyonec
BANNED | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fingertip
Ну начальству вовсе необязательно знать, как реализовано решение поставленной задачи. Начальство что хочет? В данном случае, оно хочет, чтобы та автономная группа не выпала из поля контроля, то есть оно хочет доступ к их компам. Как и Вы, я надеюсь. Вот и все. А как реализовать, это уже начальства не касается.
Теперь по теме. Вроде время есть. Итак, у Вас домен и доменная же группа в нем. Назовем ее локальная группа, хоть и неправильно, но в качестве условности сойдет (так писать проще). Так же назовем и их контейнер и их политику - локальными.
Задача. Все доменные пользователи должны иметь доступ ко всему, что им положено видеть, кроме доступа к локальной группе. Локальная группа должна иметь доступ только внутри себя и к необходимым внешним сервисам (инет, почта и т.п.), оставаясь при этом в домене, то есть быть полностью централизованно администрируемой.
Способ реализации: Доменные политики. Сразу оговорюсь, что при таком способе локальная группа будет видна в сети.
Копнем в сторону запрета доступа по сети.
Инфраструктура. Создается локальный контейнер. В нем создается группа безопасности. Для контейнера создается политика безопасности. Все локальные пользователи и их компьютеры помещаются в этот контейнер и приписываются (member of...) локальной группе безопасности.
I. Очевидно, что доступ к локальной группе надо запретить всем пользователям, то есть Domain Users. И запретить надо в локальной политике безопасности локального контейнера.
Что произойдет? К локальной группе не получит доступа вообще ни кто, потому как все входят в группу безопасности Domain Users. Способы обхода:
1. Включить всех пользователей, кроме локальных в любую вновь созданную группу безопасности в домене, и именно ей запретить вышеозначенный доступ, а не Domain Usres. Минус - высокая трудоемкость на начальном этапе, необходимость включения в эту группу любого вновь созданного пользователя в дальнейшем.
2. Запретить применение доменной политики локальной группе безопасности. Минус - доменная политика перестает применяться к локальным пользователям\компам, необходимо дублировать пункты, требующие применения.
Итак, доменные пользователи, при попытке получить доступ к локальной группе получат отлуп. Тут надо не забыть про себя любимого и вообще Domain Admins.
II. Запрещаем локальной группе доступ к остальным компам.
1. При всей кажущейся простоте, а именно в доменной политике заперщаем доступ по сети локальной группе и всё, тут есть кучка нюансов.
2. Как это повлияет на доступность SYSVOL и NETLOGON? И вообще конроолллеры домена не отбрыкнут ли? Придется разруливать, ковыряя новые группы, политики, запреты. Как поведет себя почтарь? Прокси? И т.д. Да, все это можно разрулить, насоздавав групп и расставив разрешения.
Но, смотрите сами, сколько действий. И ошибись хоть в одном, либо не учти, маленький нюанс (например, политика паролей применяется только с корня домена, что ты там не напиши в OU, хоть обпишись, но политика паролей берется с корня домена) применяется "Назначение прав пользователя" с домена или с контейнера? Я не знаю. И, даже если все выстроить, то потом еще придется докручивать и докручивать винтики, ко всяким сервисам, необходимым локальной группе.
И главный минус. Выстроив такую монстроподобную поитику политик, всегда можно гадко напакостить самому себе или вообще потерять работоспособность домена.
Даже написать все это - требуется время. А реализовать?
В тоже время, разнесение по подсетям - плевое дело. И в сети компы светиться не будут, и локальные юзеры не будут видеть остальную сеть.
Как говорится: "почувствуйте большую разницу". Задача администратора - пройти кратчайшим путем, тихо и незаметно. А не валить буреломы героически.
Надеюсь, что после такого развернутого ответа понятно, почему я не советую реализовывать это политиками. Впрочем, может здесь есть более короткий путь, я таки не гуру.
Цитата:| возможно ли реализовать две подсети под контролем одного контроллера домена с одной сетевой картой? |
Возможно. Майкрософт даже фишку придумал, сайты называется. Копните туда.
Цитата:| Например простым добавлением второго IP-адреса в свойствах TCP/IP на контроллере домена. |
Можно и так. Но я бы маской сыграл: основная сеть 192.168.1.0\24 локальная 192.168.100.0\24 контроллер и общедоступные сервисы 192.168.0.0\16. Или вообще шлюзы организовать. Лучше VLAN конечно.
Цитата:| И всё-таки, почему параметры дефолтной политики могут не работать? |
Работают они, если политика не отключена и не запрещена к применению. Ну и репликацию надо держать в уме. |
Всего записей: 251 | Зарегистр. 11-05-2010 | Отправлено: 15:08 07-12-2010 | Исправлено: kromanyonec, 15:09 07-12-2010 |
|
А почему его не стоит отклонять? 
