Ограничить доступ к общей папке для определенного компьютера /IP

Как настроить сервер [с установленными / настроенными учетными записями пользователей с установленными ролями DNS и ADS], чтобы ограничить доступ к его общей папке для определенного компьютера в сети.

Sol-1: предлагаемое здесь решение https://superuser.com/questions/629099/how-to-block-an-ip-address-from-a-network-share не работает, поскольку "Модель безопасности Windows ограничивает доступ к -пользователь, не по-IP "

Sol-2: Другое решение, предлагаемое здесь: https://support.managed.com/kb/a482/block-an-ip-or-ip-range-using-windows-ip-security-policy.aspx полностью блокирует в результате при подключении компьютера /IP-адреса конкретный компьютер (назначенный для блокировки доступа к общей папке) даже не может разрешить учетные данные пользователя ADS при попытке входа в систему.


Подробнее

Цель

Мы хотим, чтобы пользователи ADS (около 30) в сети компании могли без ограничений просматривать Интернет-страницы, загружать все, что хотят, но запрещать загрузку данных компании в облако.

ситуация

Чтобы удовлетворить эту потребность,

  • Размещенный сервер домена с настройкой ADS. Назовите это ГЛАВНЫЙ СЕРВЕР.

  • Ни один из компьютеров пользователей не подключен к Интернету, но все они подключены к сети.

  • Пользователю не разрешено предоставлять доступ к папке со своего компьютера в локальной сети.

  • Мы разместили другой сервер (назовите его NET-MACHINE), который подключен к Интернету и также подключен к MAIN-SERVER (он имеет 2 сетевые карты). Все пользователи, которые хотят просматривать Интернет, могут подключаться к NET-MACHINE через удаленный рабочий стол, используя свои учетные данные ADS.

Теперь пользователи иногда хотят что-то скачать и использовать на "своем" компьютере, поэтому на NET-MACHINE есть общая папка, которая предназначена для чтения-записи на машине NET-MACHINE, но доступна только для чтения при доступе к общей папке по сети.

Вызов

Пользователи иногда хотят поделиться данными со своими коллегами. Итак, на MAIN-SERVER есть общая папка, которая предназначена для чтения и записи для всех пользователей в сети. Теперь, что интересно, эта общая папка на MAIN-SERVER также доступна для NET-MACHINE, которую мы хотим ограничить. Когда пользователь входит в NET-MACHINE с использованием RDP, он не должен иметь доступ к общей папке на MAIN-SERVER.

Запрос

  1. Я новичок в этой компьютерной сети, поэтому, пожалуйста, не стесняйтесь комментировать, если вы видите любой другой надежный подход к управлению пользователями, чтобы ограничить загрузку, но в то же время дать им полную свободу для серфинга в сети.

  2. Как ограничить доступ NET-MACHINE к общей папке на MAIN-SERVER

1 ответ

В ответ на ваш комментарий:

Ваш комментарий действителен, если данные, которые я хочу защитить, представляют собой некие коммерческие действия с чувствительными финансовыми показателями. Но, подумайте, я делаю это для компании-разработчика программного обеспечения, которая хочет защитить своих программистов, чтобы они загружали свои исходные файлы программного обеспечения в свое частное облачное хранилище (обычно это более 1000 файлов).

и ваш комментарий в ответ на Reaces:

Я прошел по ссылке, которую вы указали в своем ответе перед публикацией этого вопроса, но я обнаружил, что модель безопасности Windows ограничивает доступ для пользователя, а не для IP. Пост не очень помог мне. После поиска в сети я нашел это, support.managed.com/kb/a482/…, но это полностью ограничивает NET-MACHINE доступ к MAIN-SERVER.

Ну да. Вы не хотите, чтобы они обращались к своим файлам MAIN-SERVER во время работы в Интернете. Похоже, что MAIN-SERVER - это массивная база для хранения конфиденциальных исходных файлов. Чтобы запретить им загружать файлы с MAIN-SERVER через NET-MACHINE, нужно заблокировать NET-MACHINE от общения с MAIN-SERVER либо по разрешениям, либо по IP.

Я согласен с Чикаликом и другими комментаторами в том, что вам действительно нужно какое-то программное обеспечение для предотвращения потери данных. (У меня был друг, который работал над одним из них до того, как он перешел в новую компанию. Он без энтузиазма называл это "атакой" человек посередине "на ваших собственных пользователей". Однако, хорошо. Если жизненно важно, чтобы ваш вещи не покидают ваших помещений... лучше, чем тогда неисполненная политика, ИМХО.)

Я также собираюсь подвергнуть сомнению Вашу акцию ГЛАВНОГО СЕРВЕРА. (Извините.) Ваши программисты хотят обмениваться файлами друг с другом. Простите, но я работал в небольшой компании, где это было не так - вы используете контроль версий, верно? Я имею в виду, я пытаюсь выяснить, какие тысячи файлов, которыми они делятся в общем сетевом ресурсе, могли бы быть иначе. Если нет, то вы, вероятно, хотите настроить что-то подобное.

Другие вопросы по тегам