Как контролировать доступ к папкам в сеансе клиента Windows VPN?
Я установил Windows службы роли VPN все в порядке. Следующим шагом является ограничение доступа к учетной записи пользователя сеанса VPN. Некоторые папки должны быть запрещены для просмотра клиентом (например: системные папки, программные файлы, профили пользователей), некоторые должны быть разрешены. На этот раз я не собираюсь использовать Active Directory, он не включен.
Могут ли быть выбраны все общие папки и разрешения ntfs (вкладка "Безопасность") с полным доступом или "Изменить для аутентифицированных пользователей", кроме тех, которые я выбираю для предоставления доступа к VPN-подключению для учетной записи стандартного пользователя Windows. Или наоборот?
И удалить группу пользователей из этих папок с разрешениями share и ntfs для группы Authenticated Users?
1 ответ
Хорошо, может быть.
Помните, что без глобальной безопасности AD все, что вы пытаетесь контролировать с помощью файловых ACL, будет работать только на одном сервере, который реализует VPN, т.е. без AD у вас есть только ЛОКАЛЬНЫЕ учетные записи для аутентификации VPN и для ACLE ФАЙЛА, которые вы хотите установить.
AD может стоить задуматься об этом.....
Таким образом, если VPN и файловый сервер - это одна и та же машина, вы можете подходить к ней таким образом, но самая большая хитрость будет заключаться в том, чтобы заблокировать OUT-доступ ко всему, и только после этого включить доступ к тому небольшому количеству, к которому VPN должен иметь доступ (т. е. настройки безопасности, не связанные с ACL, такие как "Перемещение каталогов" тоже необходимо учитывать.)
Контрольный список высокого уровня для планирования такого PN можно найти здесь: https://technet.microsoft.com/en-us/library/cc725734(v=ws.10).aspx