弊社の SQL LOB アプリケーションにアクセスする必要がある契約社員が 2 人います。彼らは、DC 上の RADIUS で認証するルーターに VPN 経由で接続します。現在、問題の 2 つのサーバーは DC です。作成されたユーザーは、セキュリティ グループ - VPN ユーザーのメンバーです。このグループに付与されるセキュリティ権限は、ダイヤルイン アクセスのみです。
紙の上では、これは簡単なはずです。ただし、これらのサーバーの共有権限の 75% に、認証済みユーザーのフル アクセスが含まれているという欠点があります。その理由を尋ねないでください。現時点では、これを修正する機会はありません。
SQL は DC2 上に存在しますが、クライアント ソフトウェアの ODBC 設定により、ドメイン認証は不要になります。したがって、必要なのは、これらの VPN ユーザーがネットワークを参照して共有にアクセスできないようにすることだけです。
DC セキュリティ ポリシーで「ネットワークからのアクセスを拒否する」を設定してみましたが、どうやら効果がないようです。
参考: 両方のサーバーは W2003 SP2 Standard です。クライアントは XP/Vista を使用します。
ティア
答え1
おそらく、サーバー上で共有が存在するドライブのセキュリティ ルールにそれらを追加するのでしょうか? 拒否ルールは常に許可ベースのルールよりも優先されます。
答え2
LAN ではなく DMZ で VPN を終了する可能性はありますか? もしあるなら、DMZ -> LAN のポート 1433 に穴を開けて SQL サーバーに接続できます。
私だったら、会社が管理していないコンピュータのユーザーを会社のネットワークに持ち込みたくありません。そのため、それらのコンピュータを専用の DMZ に配置するのです。もし、それらのコンピュータがウイルスに感染したり、スパムボット ネットワークの一部になって、VPN トンネル経由でインターネット接続からスパムを送信し始めたらどうしますか。偏執的な人にとっては、恐ろしいシナリオがたくさんあります。:-)
答え3
VPN ソリューションで SQL ポートの通過のみを許可するように設定しますか?
答え4
みなさん、ありがとう。私が採用できた唯一の方法は、このユーザーのすべての共有に対する権限を拒否することだった。少し面倒だったが、いわば車輪を再発明する時間などなかった。