Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Serega_krg
Зарегистрирован: 23.12.2005 Сообщения: 5
|
Добавлено: Пт Дек 23 2005 06:31 Заголовок сообщения: Как сделать невидимыми компы в сети |
|
|
Помогите, как сделать, чтобы пользователи в сети видели только компы, входящие в их группу |
|
Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005 Сообщения: 275 Откуда: Omsk
|
Добавлено: Пт Дек 23 2005 10:29 Заголовок сообщения: |
|
|
Раздели компы по разным подсетям _________________ Я странный... |
|
Вернуться к началу |
|
|
Serega_krg
Зарегистрирован: 23.12.2005 Сообщения: 5
|
Добавлено: Пт Дек 23 2005 15:08 Заголовок сообщения: |
|
|
А если пользователь входит в несколько групп, как он сможет видеть компы в разных подсетях? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Дек 23 2005 22:41 Заголовок сообщения: |
|
|
Цитата: | Раздели компы по разным подсетям |
Чушь. Это не поможет для решения поставленной задачи. Кроме того после разделения на подсети усложняется управление и появляется потребность к маршрутизаторе. А это еще одна точка отказа, которую вы сами себе придумали. И на фига козе баян?
Автору: В среде Windows это сделать невозможно. Возможно в Windows Vista это сделают, в чем я очень сомневаюсь, ибо оно реально не нужно. Пересмотрите свои взгляды на безопасность.
Не видеть комп - это абсолютно не значит, что вы не можете на него попасть. Уж так устроен NetBIOS. Увы. |
|
Вернуться к началу |
|
|
Serega_krg
Зарегистрирован: 23.12.2005 Сообщения: 5
|
Добавлено: Сб Дек 24 2005 05:41 Заголовок сообщения: |
|
|
Жаль. У моего начальства такие взгляды на безопасность в сети: если не пользователь не видит комп не из своей группы, то и проблем нет.
Другой вариант: есть ли возможность разделить компы по группам так, чтобы в с сети из было видно в виде дерева из групп, при входе в которые показывались бы компы, входящие в эту группу? |
|
Вернуться к началу |
|
|
Greenering
Зарегистрирован: 21.08.2003 Сообщения: 21
|
Добавлено: Сб Дек 24 2005 07:29 Заголовок сообщения: |
|
|
как вариант можно предложить пользование скрытых шар, но с точки зрения юзера не удобно и не решает задачу _________________ С уважением, Таня |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Дек 24 2005 13:44 Заголовок сообщения: |
|
|
Хе-х! Эта задача еще сложнее первой. Тоже невозможно.
Если уж такой подход, то вообще уберите все компы из сетевого окружения (делается через правку реестра на каждом компе). Каждому юзверю заведите папку на рабочем столе и сделайте ярлыки на каждый нужный ему комп.
Вот игрой с ярлыками и решите эту задачу. Только у вас будет вечный геморой с правкой этих ярлыков, особенно если сеть большая и компов много. Так же надо понимать, что ярлык висит всегда, даже если комп выключен. Юзверь на комп пойдет, а там фиг. При этом explorer (графическая оболочка) блокируется и тебе будут звонить и топать ногами, мол комп мой завис. Не завис он. От тайм-аута ждет.
Начальству объясните, что требуемый механизм стандартными средствами Windows сделать невозможно. Операционная система этого не позволяет сделать.
Почему? Потому что протокол NetBIOS разрабатывался в начале 90х годов, и тогда разработчики считали, что в сети будет не более 20-30 компьютеров. Все глюки с сетевым окружением оттуда и растут.
Если у вас начальством уперлось рогом, то смотрите в сторону eDirectory от Novell. Это отдельный продукт, который надо будет купить.
Вообще подобная проблема - не проблема абсолютно. Храните все данные на серверах. Не фига их на рабочих станциях держать. Серверы работают круглосуточно, данные всегда доступны. С серверов проще всего сделать резервное копирование. Юзверь быстро к этому привыкает и сам сделает ярлык на рабочем столе с путем "\\serv\Документы_дяди_Васи", а про сетевое окружение забудет как про страшный сон.
Начальству проведите аналогию: Вот приехало оно в гостинницу. Дали ему ключ от номера, идет оно по коридору и видит кучу дверей (это типа компы), однако попасть оно туда не может, т.к. прав доступа нет, ключик только от одной двери! |
|
Вернуться к началу |
|
|
aC^dreik
Зарегистрирован: 06.12.2005 Сообщения: 21 Откуда: Saint-Petersburg
|
Добавлено: Пт Дек 30 2005 09:09 Заголовок сообщения: |
|
|
А что простите мешает пристрелить на машине которую надо убрать из сети NetBios over TCP/IP ?
Пропадёт в достаточно короткие сроки _________________ Спасибо,
дрейк |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Дек 31 2005 15:03 Заголовок сообщения: |
|
|
Читайте внимательно вопросы.
Вопрос не в том, как убрать комп из сетевого окружения, а как сделать видимость тех или иных компов в зависимости от того под каким логином зашли в сеть.
Пример: Вася Пупкин должен видеть в сетевом окружении server1, server2, server3
Коля Деточкин только server 1, server3 и server5.
Ответ: Задача решения не имеет, т.к. протокол NetBIOS таких возможностей не предоставляет. |
|
Вернуться к началу |
|
|
aC^dreik
Зарегистрирован: 06.12.2005 Сообщения: 21 Откуда: Saint-Petersburg
|
Добавлено: Чт Янв 12 2006 20:12 Заголовок сообщения: |
|
|
and3008 писал(а): | Читайте внимательно вопросы.
Вопрос не в том, как убрать комп из сетевого окружения, а как сделать видимость тех или иных компов в зависимости от того под каким логином зашли в сеть.
Пример: Вася Пупкин должен видеть в сетевом окружении server1, server2, server3
Коля Деточкин только server 1, server3 и server5.
Ответ: Задача решения не имеет, т.к. протокол NetBIOS таких возможностей не предоставляет. |
ага, сорри, ступил. _________________ Спасибо,
дрейк |
|
Вернуться к началу |
|
|
anton_wol
Зарегистрирован: 11.04.2005 Сообщения: 259 Откуда: Kiev
|
Добавлено: Пт Янв 13 2006 16:25 Заголовок сообщения: |
|
|
IPSec я полагаю может помочь, там правила создаешь типа запретить юзверям с такими айпишниками вообще все и видеть они их перестанут по идее, TCP/IP будет правда
В сервере 2003 это оснастка secpol.msc
еще можно настроить VLAN _________________ не стыдно быть дураком, стыдно им оставаться... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Янв 13 2006 20:32 Заголовок сообщения: |
|
|
Сам понял что сказал?
Напиши план и убедись сам, что ты спорол чушь.
Граждане, поймите, что список компов отдает Master Browser. При чем отдает их сразу скопом, а не по-штучно на основании некоторых условий.
Не порите чушь про VLAN и IPSec. Эти вещи хорошие и не надо их путать друг с дружкой. |
|
Вернуться к началу |
|
|
anton_wol
Зарегистрирован: 11.04.2005 Сообщения: 259 Откуда: Kiev
|
Добавлено: Пн Янв 16 2006 12:46 Заголовок сообщения: |
|
|
с помощью IPSec создать политику в которой прописать фильтр траффик с любого компа на этот - правило - запретить, и потом фильтр: разрешить траффик с компов группы данного компа, это проделать на всех компах и назначить данную политику
что это даст? разве компы не перестанут видеть другие компы с других групп?
VLAN: на коммутаторе погруппировать компы по портам в прилагающейся к коммутатору приложении управления данного дэвайса (через обыкновенный веб-браузер я видел работает) (получим разграничение по группам на канальном уровне)
если я ошибаюсь пишите pls, я еще маленький, учусь... _________________ не стыдно быть дураком, стыдно им оставаться... |
|
Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003 Сообщения: 382 Откуда: Санкт-Петербург
|
Добавлено: Пн Янв 16 2006 14:09 Заголовок сообщения: |
|
|
Автору темы:
Решения Вашей задачи не существует.
To and3008:
Цитата: | Граждане, поймите, что список компов отдает Master Browser. При чем отдает их сразу скопом, а не по-штучно на основании некоторых условий. |
Позвольте поправить. В общем случае список компов для Сетевого окружения отдает не Master Browser, а один из 3-х резервных браузеров. Этот набор из 3-х резервных браузеров закрепляется за каждой машиной.
Естественно, если в сети недостаточно резервных браузеров, то в этом списке:
- может присутствовать и Master Browser;
- этот список может иметь и менее 3-х компов. _________________ Знание принципов компенсирует незнание фактов. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Янв 16 2006 17:21 Заголовок сообщения: |
|
|
Благодарствую, но я сознательно не стал вдаваться в подробности.
Тема "Вся правда о сетевом окружении" была здесь обсуждена вдоль и поперек. Ищущий найдет все в архиве. Поднимать эту тему вновь не хочу. |
|
Вернуться к началу |
|
|
anton_wol
Зарегистрирован: 11.04.2005 Сообщения: 259 Откуда: Kiev
|
Добавлено: Вт Янв 17 2006 22:34 Заголовок сообщения: |
|
|
and3008 писал(а): | Сам понял что сказал?
Напиши план и убедись сам, что ты спорол чушь.
Граждане, поймите, что список компов отдает Master Browser. При чем отдает их сразу скопом, а не по-штучно на основании некоторых условий.
Не порите чушь про VLAN и IPSec. Эти вещи хорошие и не надо их путать друг с дружкой. |
можно еще раз для тех кто в танке почему я спорол чушь и почему вы все время говорите про NetBios он с 2000 года уже как не фурычит в винде _________________ не стыдно быть дураком, стыдно им оставаться... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Янв 18 2006 00:15 Заголовок сообщения: |
|
|
Цитата: | и почему вы все время говорите про NetBios он с 2000 года уже как не фурычит в винде |
Он не то, чтобы не вурычит. Просто c Windows 2000 и выше система для доступа к другому компу может обойтись и без NetBIOS (не прошло и 15 лет...)
Однако если на Win2000 выключить поддержку NetBIOS, то доступ к компу можно будет получить только зная имя компа или его IP-адрес. В "Сетевом окружении" будет пусто!
Вот эта пустота подавляющее большинство не устраивает. Очень многие желают его созерцать.
Я вот не испытываю в этом проблемы. Быстрый доступ к нужному компу предпочитаю осуществлять так: Пуск, Выполнить, \\имя_компа или \\IP_адрес. Если кто-то знает более быстрый способ - сообщите. |
|
Вернуться к началу |
|
|
anton_wol
Зарегистрирован: 11.04.2005 Сообщения: 259 Откуда: Kiev
|
Добавлено: Ср Янв 18 2006 13:51 Заголовок сообщения: |
|
|
ясненько
и про IPSec с VLAN еще дополните pls (удовлитворите мое любопытство, а то я тут уже MSDN, "Секреты хакеров", там FoundStone пишет, различные пособия для админов поднял) особенно про IPSec написано что через групповые политики можно управлять безопасностью даже лучше чем файрвол по безопасности, можно закрыть все порты(кроме 88, Kerberos, ISAKLM) _________________ не стыдно быть дураком, стыдно им оставаться... |
|
Вернуться к началу |
|
|
|