У меня есть один компьютер XP в сети Windows, который я хочу изолировать от сетевых ресурсов других компьютеров в сети. Я не хочу, чтобы эта машина имела доступ к другим сетевым ресурсам в сети. Как я могу это сделать?
1 ответ
1
Вы должны помнить, что существуют учетные записи пользователей и учетные записи компьютеров. Учетные записи компьютеров используются в основном только для присоединения компьютера к домену. Учетные записи пользователей используются для входа на компьютеры или домены. Управление доступом к общим ресурсам осуществляется через учетные записи пользователей. Пользователи входят в систему на локальных компьютерах (т. Е. Сценарии рабочей группы ) или в домене (т. Е. Машина, которая выполняет роль контроллера домена, предоставляет учетные данные для проверки подлинности всем пользователям сети - запускает сервер Windows или Linux Samba). Простейшим вариантом домашнего использования является регистрация на каждом ПК отдельно, что является моделью рабочей группы. Это происходит даже в том случае, если ваши компьютеры просто запускаются и переходят к экрану кнопки «Пуск» без какого-либо входа в систему - на этом компьютере все еще будет учетная запись пользователя, которая «выполняет автоматический вход». (Исследуйте пользователей с помощью команды mmc - откроется консоль управления Microsoft).
Случай 1: Рабочие группы
Отключите "простой общий доступ к файлам" через Tools - Folder Options - View - Advanced settings - см. Также. Щелкните правой кнопкой мыши папку и поделитесь ею с помощью Sharing and Security . Пока вы на это, установите разрешения с помощью кнопки Permissions . Здесь два сценария:
- Во-первых, вы предоставляете доступ через локальное имя пользователя и пароль, которые существуют на компьютере, совместно использующем папку. Скажи, что это USER1. В разрешениях дать доступ только пользователю USER1. Убедитесь, что на всех других компьютерах нет пользователя USER1. Затем при подключении пользователей будет предложено ввести имя пользователя и пароль. Если человек, использующий компьютер, с которого вы не хотите разрешать доступ, не знает имени пользователя и пароля - он / она не сможет получить доступ к общему ресурсу. Конечно, все остальные должны будут запомнить имя пользователя и пароль, а также не поддаться искушению передать эти учетные данные тому пользователю, которого вы хотите исключить.
- Сценарий 2 - это когда ваши пользователи забывают о паролях сетевых имен пользователей и т.д., И они приходят на компьютеры, которые "автоматически входят". Что означает, что они не знают ни паролей, ни ничего, я просто использую свой компьютер, чувак. Они просто приходят к компьютеру, который загружается на экран кнопки «
Start. Вы можете использовать это. Запишите имена пользователей на компьютерах, с которых вы хотите получить доступ к общим ресурсам. На компьютере с общим доступом создайте учетные записи пользователей с точно такимиsame usernamesиsame passwordsчто и на разрешенных компьютерах. При совместном использовании папки - дайте разрешение этим пользователям. Вы также можете настроить имя пользователя точно так же, как для пользователя на компьютере, который вы хотите исключить. Когда вы предоставляете разрешения для этой учетной записи на вашем компьютере для совместного использования - вы удаляете все права доступа. То, что увидят ваши пользователи - они смогут получить доступ к общим ресурсам с "разрешенных" компьютеров, и им будет отказано в доступе с "исключенных" компьютеров. За кулисами ваш разделяющий компьютер будет смотреть на запросы доступа таким образом:who is asking?- user1 -what's your password?- пароль1OK you can access. Когда исключенный компьютер подключится - произойдет точно такой же обмен, кроме последнего ответа будетAccess Denied!, Он работает только потому, что имена пользователей и пароли на компьютерах, на которые вы обращаетесь, были настроены вами так же, как и пароли имен пользователей на компьютере с общим доступом. Допустим, у вас есть 4 компьютера с доступом - у каждого из них будет одна учетная запись. На компьютере с общим доступом у вас будет по крайней мере 4 учетных записи (если только на всех компьютерах, к которым осуществляется доступ, не установлены одинаковые имя пользователя и пароль "автоматический вход в систему", в этом случае у вас будет 2 учетные записи на компьютере с общим доступом - одна для доступа к компьютерам). и 1 для исключенного компьютера). Единственная причина, по которой он работает без запроса, заключается в том, что имена пользователей и пароли совпадают, и компьютеры пытаются использовать только те учетные данные, которые у них есть. С любой точки зрения сетевой безопасности это ... хм ... не здорово, кстати, Ктулху. Но это будет работать, если ваши пользователи не начнут возиться с теми учетными записями, в которые они автоматически вошли.
Случай 2: Домены
Это намного проще - все пользователи входят в домен, поэтому все имена пользователей хранятся централизованно. Таким образом, вы можете ограничить доступ к общим ресурсам с центрального сервера - только когда вы предоставляете общий доступ, вы указываете разрешенных пользователей, таких как DOMAIN\User1 и т.д. Пользователи, которым это не разрешено, не будут входить. Вы, конечно, должны помнить, чтобы удалить доступ для группы Everyone .Хороший и простой способ, но требует, чтобы вы запустили либо сервер Windows (стоит $), либо установили сервер SAMBA 3 или 4 в Linux.
Случай 3? Брандмауэр
Вы, я полагаю, могли бы использовать программный брандмауэр на разделяющем компьютере, чтобы специально исключить трафик, приходящий с IP-адреса компьютера, который вы хотите исключить. Было бы достаточно указать брандмауэру сбросить трафик tcp/udp для портов 138 и 139, если запросы поступают с этого IP-адреса. Это должен быть какой-то другой брандмауэр, кроме стандартного брандмауэра Windows XP. Ну, вы могли бы даже использовать брандмауэр на машине, которую вы хотите исключить - скажите этой машине, чтобы она отбрасывала все пакеты с машины общего доступа, которые поступают из портов 138 и 139. Другой способ Chtulhu ... может работать, если ваши пользователи не отменит ваши изменения;).