Как запретить одной машине в локальной сети доступ к сетевым ресурсам?

Question

Вам нужно помнить, что существуютучетные записи пользователейимашинные счета. Учетные записи машин используются в основном только для присоединения машины к домену. Учетные записи пользователей используются для входа в компьютеры или домены. Управление доступом к общим ресурсам осуществляется через учетные записи пользователей. Пользователи входят либо на локальные компьютеры (т. е.Рабочая группасценарий) или кДомен(т. е. машина, которая действует как контроллер домена, предоставляет учетные данные для аутентификации всем пользователям сети - работает либо на сервере Windows, либо на Linux Samba). Простейший вариант домашнего использования - это вход в систему на каждом ПК отдельно, что является моделью рабочей группы. Это происходит даже в случае, если ваши ПК просто запускаются и переходят на экран кнопки "Пуск" без входа в систему - на этой машине все равно будет учетная запись пользователя, которая "автоматически входит в систему". (Просмотрите пользователей с помощью mmcкоманды - это откроет консоль управления Microsoft).

Дело 1:Рабочие группы

Отключить «простой обмен файлами» через Tools - Folder Options - View - Advanced settings-смотрите также. Щелкните правой кнопкой мыши папку и поделитесь ею через Sharing and Security. Пока вы там, установите разрешения с помощью кнопки Permissions. Здесь есть два сценария:

Во-первых, когда вы предоставляетедоступ через локальное имя пользователя и паролькоторый существует на компьютере, предоставляющем общий доступ к папке. Допустим, это USER1. В разрешениях дайте доступ только USER1. Убедитесь, что на всех остальных компьютерах нет USER1. Затем при подключении пользователей будут спрашивать имя пользователя и пароль. Если человек, использующий компьютер, с которого вы не хотите разрешать доступ, не знает имя пользователя и пароль, он/она не сможет получить доступ к общему ресурсу. Конечно, всем остальным придется запомнить имя пользователя и пароль, а также устоять перед соблазном предоставить эти учетные данные тому пользователю, которого вы хотите исключить.
Сценарий 2 — это когда вашпользователи не обращают внимания на сетевые имена пользователей и паролии т.д. и они приходят к компьютерам, которые "автологинятся". Это означает, что они не знаютНикаких паролей, ничего, я просто пользуюсь своим компьютером, чувак.. Они просто приходят на компьютер, который загружается на Startэкран кнопки. Вы можете использовать это. Запишите имена пользователей на компьютерах, с которых вы хотите получить доступ к общим ресурсам. На вашем общем компьютере создайте учетные записи пользователей с точнымиsame usernamesИsame passwordsкак на разрешенных компьютерах. При предоставлении общего доступа к папке - дайте разрешение этим пользователям. Вы также можете задать имя пользователя, точно такое же, как и для пользователя на компьютере, которого вы хотите исключить. При предоставлении разрешений этой учетной записи на вашем общем компьютере - выудалятьполный доступ. Что увидят ваши пользователи - они могут получить доступ к общим ресурсам с "разрешенных" компьютеров и будут лишены доступа с "исключенного" компьютера. За кулисами ваш общий компьютер будет просматривать запросы на доступ таким образом: who is asking?- user1 - what's your password?- password1 OK you can access. Когда исключенный компьютер подключится - произойдет точно такой же обмен, за исключением того, что последний ответ будет Access Denied!. Это работает только потому, что имена пользователей и пароли на компьютерах доступа были настроены вами так, чтобы они были такими же, как имена пользователей и пароли на общем компьютере. Допустим, у вас есть 4 компьютера доступа - у каждого будет одна учетная запись пользователя. На общем компьютере у вас будет как минимум 4 учетные записи (если только все компьютеры доступа не настроены с одинаковым именем пользователя / паролем "автоматический вход", в этом случае у вас будет 2 учетные записи на общем компьютере - одна для компьютеров доступа и 1 для исключенного компьютера). Единственная причина, по которой это работает без запроса, заключается в том, что имена пользователей и пароли совпадают, и компьютеры пытаются использовать единственные учетные данные, которые у них есть под рукой. С точки зрения сетевой безопасности это... хм... не очень хорошо,КтулхуТак, я полагаю. Но это будет работать, если только ваши пользователи не начнут возиться с теми аккаунтами, в которые они автоматически входят.

Случай 2:Домены

Гораздо проще - все пользователи входят в домен - так что все имена пользователей хранятся централизованно. Так что вы можете ограничить доступ к общим ресурсам с центрального сервера - просто когда вы делитесь, то указываете разрешенных пользователей, как это DOMAIN\User1и т. д. Пользователи, которым специально не разрешено, не попадут. Конечно, вам нужно не забыть удалить доступ дляEveryonegroup. Хороший и простой способ, но для этого вам потребуется запустить либо сервер Windows (стоимость $), либо настроить сервер SAMBA 3 или 4 на Linux.

Случай 3?Брандмауэр

Я полагаю, вы могли бы использовать программный брандмауэр на машине общего доступа, чтобы специально исключить трафик, исходящий с IP-адреса машины, которую вы хотите исключить. Достаточно было бы указать брандмауэру сбрасывать трафик tcp/udp для портов 138 и 139, если запросы поступают с этого IP-адреса. Но это должен быть какой-то другой брандмауэр, а не стандартный брандмауэр Windows XP. Ну, вы даже могли бы использовать брандмауэр на машине, которую вы хотите исключить, — указать этой машине сбрасывать все пакеты с машины общего доступа, которые поступают с портов 138 и 139. ЕщеКтулхуспособ ... может сработать, при условии, что ваши пользователи не отменят ваши изменения ;).

Answer 1

Вам нужно помнить, что существуютучетные записи пользователейимашинные счета. Учетные записи машин используются в основном только для присоединения машины к домену. Учетные записи пользователей используются для входа в компьютеры или домены. Управление доступом к общим ресурсам осуществляется через учетные записи пользователей. Пользователи входят либо на локальные компьютеры (т. е.Рабочая группасценарий) или кДомен(т. е. машина, которая действует как контроллер домена, предоставляет учетные данные для аутентификации всем пользователям сети - работает либо на сервере Windows, либо на Linux Samba). Простейший вариант домашнего использования - это вход в систему на каждом ПК отдельно, что является моделью рабочей группы. Это происходит даже в случае, если ваши ПК просто запускаются и переходят на экран кнопки "Пуск" без входа в систему - на этой машине все равно будет учетная запись пользователя, которая "автоматически входит в систему". (Просмотрите пользователей с помощью mmcкоманды - это откроет консоль управления Microsoft).

Дело 1:Рабочие группы

Отключить «простой обмен файлами» через Tools - Folder Options - View - Advanced settings-смотрите также. Щелкните правой кнопкой мыши папку и поделитесь ею через Sharing and Security. Пока вы там, установите разрешения с помощью кнопки Permissions. Здесь есть два сценария:

Во-первых, когда вы предоставляетедоступ через локальное имя пользователя и паролькоторый существует на компьютере, предоставляющем общий доступ к папке. Допустим, это USER1. В разрешениях дайте доступ только USER1. Убедитесь, что на всех остальных компьютерах нет USER1. Затем при подключении пользователей будут спрашивать имя пользователя и пароль. Если человек, использующий компьютер, с которого вы не хотите разрешать доступ, не знает имя пользователя и пароль, он/она не сможет получить доступ к общему ресурсу. Конечно, всем остальным придется запомнить имя пользователя и пароль, а также устоять перед соблазном предоставить эти учетные данные тому пользователю, которого вы хотите исключить.
Сценарий 2 — это когда вашпользователи не обращают внимания на сетевые имена пользователей и паролии т.д. и они приходят к компьютерам, которые "автологинятся". Это означает, что они не знаютНикаких паролей, ничего, я просто пользуюсь своим компьютером, чувак.. Они просто приходят на компьютер, который загружается на Startэкран кнопки. Вы можете использовать это. Запишите имена пользователей на компьютерах, с которых вы хотите получить доступ к общим ресурсам. На вашем общем компьютере создайте учетные записи пользователей с точнымиsame usernamesИsame passwordsкак на разрешенных компьютерах. При предоставлении общего доступа к папке - дайте разрешение этим пользователям. Вы также можете задать имя пользователя, точно такое же, как и для пользователя на компьютере, которого вы хотите исключить. При предоставлении разрешений этой учетной записи на вашем общем компьютере - выудалятьполный доступ. Что увидят ваши пользователи - они могут получить доступ к общим ресурсам с "разрешенных" компьютеров и будут лишены доступа с "исключенного" компьютера. За кулисами ваш общий компьютер будет просматривать запросы на доступ таким образом: who is asking?- user1 - what's your password?- password1 OK you can access. Когда исключенный компьютер подключится - произойдет точно такой же обмен, за исключением того, что последний ответ будет Access Denied!. Это работает только потому, что имена пользователей и пароли на компьютерах доступа были настроены вами так, чтобы они были такими же, как имена пользователей и пароли на общем компьютере. Допустим, у вас есть 4 компьютера доступа - у каждого будет одна учетная запись пользователя. На общем компьютере у вас будет как минимум 4 учетные записи (если только все компьютеры доступа не настроены с одинаковым именем пользователя / паролем "автоматический вход", в этом случае у вас будет 2 учетные записи на общем компьютере - одна для компьютеров доступа и 1 для исключенного компьютера). Единственная причина, по которой это работает без запроса, заключается в том, что имена пользователей и пароли совпадают, и компьютеры пытаются использовать единственные учетные данные, которые у них есть под рукой. С точки зрения сетевой безопасности это... хм... не очень хорошо,КтулхуТак, я полагаю. Но это будет работать, если только ваши пользователи не начнут возиться с теми аккаунтами, в которые они автоматически входят.

Случай 2:Домены

Гораздо проще - все пользователи входят в домен - так что все имена пользователей хранятся централизованно. Так что вы можете ограничить доступ к общим ресурсам с центрального сервера - просто когда вы делитесь, то указываете разрешенных пользователей, как это DOMAIN\User1и т. д. Пользователи, которым специально не разрешено, не попадут. Конечно, вам нужно не забыть удалить доступ дляEveryonegroup. Хороший и простой способ, но для этого вам потребуется запустить либо сервер Windows (стоимость $), либо настроить сервер SAMBA 3 или 4 на Linux.

Случай 3?Брандмауэр

Я полагаю, вы могли бы использовать программный брандмауэр на машине общего доступа, чтобы специально исключить трафик, исходящий с IP-адреса машины, которую вы хотите исключить. Достаточно было бы указать брандмауэру сбрасывать трафик tcp/udp для портов 138 и 139, если запросы поступают с этого IP-адреса. Но это должен быть какой-то другой брандмауэр, а не стандартный брандмауэр Windows XP. Ну, вы даже могли бы использовать брандмауэр на машине, которую вы хотите исключить, — указать этой машине сбрасывать все пакеты с машины общего доступа, которые поступают с портов 138 и 139. ЕщеКтулхуспособ ... может сработать, при условии, что ваши пользователи не отменят ваши изменения ;).

Как запретить одной машине в локальной сети доступ к сетевым ресурсам?

решение1

Связанный контент