У меня есть два подрядчика, которым нужен доступ к нашему приложению SQL LOB. Они будут подключаться через VPN к маршрутизатору, который аутентифицируется через RADIUS на DC. Теперь два рассматриваемых сервера являются DC. Созданные пользователи являются членами группы безопасности - VPN Users. Единственные права безопасности, закрепленные за этой группой, - это доступ по коммутируемым линиям.
На бумаге это должно быть просто. Ложка дегтя в том, что, возможно, 75% разрешений на общий доступ на этих серверах включают Полный доступ для аутентифицированных пользователей. Не спрашивайте почему, и нет, на данный момент нет возможности это исправить.
SQL находится на DC2, но настройки ODBC в клиентском программном обеспечении сводят на нет необходимость в аутентификации домена. Поэтому все, что мне нужно, это запретить этим пользователям VPN просматривать сеть в поисках общих ресурсов и получать к ним доступ.
Я попробовал установить «Запретить доступ из сети» в политике безопасности DC, но это, похоже, не помогло.
Для информации: Оба сервера — W2003 SP2 Standard. Клиенты будут использовать XP/Vista.
ТИА
решение1
Может быть, добавить их в правила безопасности на дисках, где находятся общие ресурсы на серверах? Запрещающие правила всегда перевешивают любые разрешающие правила.
решение2
Есть ли возможность завершить VPN в DMZ вместо LAN? Если да, то вы можете пробить дыру через DMZ -> LAN на порту 1433 к вашему SQL-серверу.
Если бы это был я, я бы не хотел, чтобы кто-то, чей компьютер не обслуживается моей компанией, находился в сети моей компании. Вот почему я помещаю их в их собственную DMZ. Что, если они получат вирус или станут частью сети спам-ботов и начнут рассылать спам через туннель VPN из вашего интернет-соединения? Для параноика есть много страшных сценариев. :-)
решение3
Настроить VPN-решение так, чтобы оно разрешало только SQL-порт?
решение4
Спасибо всем. Единственный метод, который я смог применить, это выдать права Deny на все акции для этого пользователя. Немного муторно, но не было времени изобретать велосипед, так сказать