如何configuration服务器(已安装DNS和ADSangular色的用户帐户已创build/已configuration)将其共享文件夹访问权限限制在networking中的特定计算机上。
Sol-1:这里提出的解决schemehttps://superuser.com/questions/629099/how-to-block-an-ip-address-from-a-network-share不工作,因为“Windows安全模式限制访问权限用户,而不是每个IP“
Sol-2:在这里提出的另一个解决scheme: https : //support.managed.com/kb/a482/block-an-ip-or-ip-range-using-windows-ip-security-policy.aspx完全阻止因此连接计算机/ IP时,特定的计算机(通过阻止共享文件夹访问)甚至无法在尝试login时parsingADS用户的凭据。
更多细节
目标
我们希望公司networking上的ADS用户(大约30人)能够无限制地浏览互联网,下载任何他们想要的内容,但禁止将公司数据上传到云端。
情况
为了满足这个需求,
使用ADS设置托pipe域服务器。 称之为主服务器。
没有用户的电脑连接到互联网,但他们都是有线的。
不允许用户在局域网上共享他/她的计算机上的文件夹。
我们放置另一个连接到互联网的服务器(称为NET-MACHINE),它也连接到MAIN-SERVER(它有2个网卡)。 所有希望浏览互联网的用户都可以使用他们的ADS证书通过远程桌面连接到NET-MACHINE。
现在,用户有时想下载一些东西在“他们”的计算机上使用,所以在NET-MACHINE上有一个共享文件夹,即在NET-MACHINE机器上读写,而在networking上作为共享文件夹访问时是只读的。
挑战
用户有时想与同事共享数据。 因此,MAIN-SERVER上有一个共享文件夹,可以对networking上的所有用户进行读写。 现在,这里有趣的是,MAIN-SERVER上的这个共享文件夹也可以被我们想要限制的 NET-MACHINE访问。 当用户使用RDPlogin到NET-MACHINE时,他们不应该能够访问MAIN-SERVER上的共享文件夹。
请求
我是这个电脑networking的新手,所以请随时评论,如果你看到任何其他可靠的方法来pipe理用户限制上传,但在同一时间给他们完全自由冲浪网。
如何限制NET-MACHINE访问MAIN-SERVER上的共享文件夹
回应你的评论:
如果我想保护的数据是某种具有敏感财务数据的商业行为,那么您的评论是有效的。 但是,我认为我正在为一家想要保护程序员将其软件源file upload到他们的私有云存储(通常是1000多个文件)的软件公司这样做。
以及您对Reaces的回复的评论:
在发布这个问题之前,我已经通过了你在答案中指出的链接,但是我发现Windows安全模型限制了每个用户的访问,而不是每个IP。 这个post对我没有太大的帮助。 在网上search后,我发现这个,support.managed.com/kb/a482/…但它是完全限制NET-MACHINE访问MAIN-SERVER。
嗯,是。 您不希望他们在浏览互联网时访问他们的MAIN-SERVER文件。 这听起来像主服务器是一个敏感的源文件的大规模倾倒场。 阻止他们通过NET-MACHINE从MAIN-SERVER上传文件的方法是阻止NET-MACHINE与MAIN-SERVER通过权限或IP进行通信。
我要同意Cheekaleek和其他意见提供者的意见,即你所要的实际上是某种数据丢失预防软件 。 (我有一个朋友在他搬到一家新公司之前正在从事其中的一个工作,他不情愿地把它称为“对自己的用户进行中间人攻击”。但是,如果这对你来说至关重要东西不离开你的处所…比那么一个非强制性的政策,恕我直言。)
我也会质疑你的MAIN-SERVER份额。 (对不起)您的程序员希望彼此共享文件。 原谅我,但我曾经在一家小公司工作,但事实并非如此 – 您正在使用源代码pipe理,对不对? 我的意思是,我试图弄清楚他们在networking共享中共享的数千个文件可能是其他的。 如果不是的话,你可能也想设置类似的东西。