Архив Декабрь 2014

Доступ пользователей к терминальному серверу только с отведенных для каждого из них компьютеров.

Введение.

Недавно на форуме русского Microsoft Technet мне попался такой вопрос одного из участников: «возможно ли задавать условия по двум критериям для доступа к терминальному серверу («узел сессий удаленного рабочего стола») под управлением Windows Server 2008 — диапазон ip (или список имен компьютеров) и логин (или группа)» Т.е., спрашивающий хотел разрешить вход с каждого из компьютеров (или их групп) только определённым пользователям (или группам пользователей).

В принципе, ответ на этот вопрос несложный. Сам по себе терминальный сервер («служба удаленных рабочих столов») такой возможности контролировать доступ к нему не даёт. Однако эта задача легко и просто решается в современных версиях Windows с помощью брандмауэра Windows в случае, если терминальный сервер и компьютеры, с которых выполняется вход, являются членами домена.

Задача мне показалась интересной, и я решил промоделировать её решение в лабораторной среде.

Основой решения является использование защиты подключений с помощью IPSec с расширением от Microsoft (протокол AuthIP).Это расширение позволяет производить при подключении аутентификацию и пользователя, и компьютера, с которого было выполнено подключение. Интеграция же IPSec с брандмауэром Windows позволяет в правилах брандмауэра использовать эту информцию — то есть, указать, к каким пользователям и компьютерам это правило применяется.

Пример настройки, приведенный ниже, годится для терминального сервера, работающего под управлением Windows Server 2008 R2 и выше, и компьютеров, с которых произодится подключение, под управлением ОС Windows 7 и выше. Однако, с некоторыми модификациями — а именно, отказом от неподдерживаемой в Windows Vista и Windows Server 2008 возможности указания портов протокола TCP в правилах безопасности подключения — такая настройка возможна и для терминального сервера под управлением Windows Server 2008, и для клиентов под управлением Windows Vista.

Читать далее

Реклама