如何配置服务器 [安装了 DNS 和 ADS 角色并创建/配置了用户帐户] 以限制其共享文件夹对网络中特定计算机的访问。
太阳-1:此处提出的解决方案https://superuser.com/questions/629099/how-to-block-an-ip-address-from-a-network-share不起作用,因为“Windows 安全模型限制每个用户的访问,而不是每个 IP”
太阳-2:这里提出的另一种解决方案:https://support.managed.com/kb/a482/block-an-ip-or-ip-range-using-windows-ip-security-policy.aspx完全阻止连接的计算机/IP,结果特定计算机(指定阻止共享文件夹访问)甚至在尝试登录时无法解析 ADS 用户的凭据。
更多细节
目标
我们希望公司网络上的 ADS 用户(数量约为 30 人)能够不受限制地浏览互联网、下载任何他们想要的内容,但禁止将公司数据上传到云端。
情况
为了满足这一需求,
使用 ADS 设置托管域服务器。将其称为 MAIN-SERVER。
所有用户的计算机均未连接到互联网,但它们均已接入局域网。
不允许任何用户在局域网上共享自己计算机上的文件夹。
我们放置了另一台连接到互联网的服务器(称为 NET-MACHINE),它也连接到 MAIN-SERVER(它有 2 个网卡)。所有希望浏览互联网的用户都可以通过远程桌面使用他们的 ADS 凭证连接到 NET-MACHINE。
现在,用户有时想要下载一些东西并在“他们的”计算机上使用它,因此在 NET-MACHINE 上有一个共享文件夹,该文件夹在 NET-MACHINE 机器上是读写的,但在通过网络作为共享文件夹访问时是只读的。
挑战
用户有时想与同事共享数据。因此,MAIN-SERVER 上有一个共享文件夹,网络上的所有用户都可以读写。现在,有趣的是,NET-MACHINE 也可以访问 MAIN-SERVER 上的这个共享文件夹我们想限制当用户使用 RDP 登录 NET-MACHINE 时,他们不应该能够访问 MAIN-SERVER 上的共享文件夹。
要求
我是计算机网络方面的新手,所以如果您看到任何其他可靠的方法来管理用户以限制上传但同时给予他们完全的上网自由,请随时发表评论。
如何限制 NET-MACHINE 访问 MAIN-SERVER 上的共享文件夹
答案1
回复您的评论:
如果我想要保护的数据是某种包含敏感财务数据的商业行为,您的评论是正确的。但是,请考虑一下,我正在为一家软件公司做这件事,该公司希望保护他们的程序员将他们的软件源文件上传到他们的私有云存储(通常有 1000 多个文件)。
以及你对 Reaces 的回复:
在发布此问题之前,我已经浏览了您在答案中指出的链接,但我发现 Windows 安全模型限制的是每个用户的访问,而不是每个 IP 的访问。这篇文章对我没什么帮助。在网上搜索后,我找到了这个,support.managed.com/kb/a482/… 但它完全限制了 NET-MACHINE 访问 MAIN-SERVER。
是的。您不希望他们在浏览互联网时访问他们的 MAIN-SERVER 文件。听起来 MAIN-SERVER 是敏感源文件的巨大垃圾场。阻止他们通过 NET-MACHINE 从 MAIN-SERVER 上传文件的方法是阻止 NET-MACHINE 与 MAIN-SERVER 通信,无论是通过权限还是 IP。
我同意 Cheekaleek 和其他评论者的观点,你们想要的其实是某种数据丢失预防软件(我有个朋友在跳槽到新公司之前就遇到过这种情况。他不情愿地称其为“对自己用户的中间人攻击”。不过,如果确保你的资料不离开你的场所是至关重要的……在我看来,这比不强制执行的政策要好。)
我还要质疑你的主服务器共享。(抱歉。)你的程序员想要彼此共享文件。请原谅,但我以前在一家小公司工作,那里没有这种情况——你是使用源代码管理,对吧?我的意思是,我想弄清楚他们在网络共享中共享的数千个文件可能是什么。如果没有,你可能也想设置类似的东西。