[Server] Ограничение доступа по rdp извне

[mdss]

Есть сервер терминалов.
Пользователи удаленно (в локалке) работают на нем по протоколу rdp. Некоторым пользователям нужен доступ к серверу извне.
Вопрос как ограничить доступ, разрешив подключаться только определенным пользователям?

В интернете путной инфы не нарыл. Может можно как-нибудь разрешить доступ извне только определенной группе пользователей?

 

[o_nix]

Add users to the Remote Desktop Users group

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

To add users to the Remote Desktop Users group
Open Computer Management.

In the console tree, click the Local Users and Groups node.

In the details pane, double-click the Groups folder.

Double-click Remote Desktop Users, and then click Add....

On the Select Users dialog box, click Locations... to specify the search location.

Click Object Types... to specify the types of objects you want to search for.

Type the name you want to add in the Enter the object names to select (examples box.

Click Check Names.

When the name is located, click OK.


Notes
By default, the Remote Desktop Users group is not populated. You must decide which users and groups should have permission to log on remotely, and then manually add them to the group.

To open Computer Management, click Start, click Control Panel, double-click Administrative Tools, and then double-click Computer Management.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[mdss]

это добавление пользователей имеющих доступ. Из локалки и так щас все доступ имеют (впрочем как и извне), а вот как ограничить извне неясно

 

[z0nata]

В правилах фаервола разрешить определенные диапазоны ip адресов.

 

[o_nix]

mdss
домен есть ?? какбы если комп не в домене то его не будет пускать.

еслиже нужно напроч отгородиться от внешки попробуй на сетевом оборудовании nat настроить чтоб из внешки rdp порт был недоступен.
тоесть сделать это средствами не винды а сетевого оборудования.

ну или фаерволом в самой винде - но это изврат.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[mdss]

В правилах фаервола разрешить определенные диапазоны ip адресов.

не вариант. Провайдеры разные. Да и неизвестно с какого диапазона выход будет. Мож в командировке в Челябинске я буду, а может в Сыктывкаре

mdss
домен есть ?? какбы если комп не в домене то его не будет пускать.
еслиже нужно напроч отгородиться от внешки попробуй на сетевом оборудовании nat настроить чтоб из внешки rdp порт был недоступен.
тоесть сделать это средствами не винды а сетевого оборудования.
ну или фаерволом в самой винде - но это изврат.
*** скрытое содержание ***

нужно не отгородиться от внешки, а разрешить из внешки доступ только определенным пользователям. Домена нет.

 

[o_nix]

то есть если на русский лаконичный перевести
тебе нужно чтобы локальные юзеры rdp имели доступ только с локалки и не могли со внешних ip коннектица для управления, но при этом чтобы админы могли коннектица с любого ip ??

если так то я хз даже как гуглить
как бы дополнительная авторизация получается нужна.
если этого нет в групповой политике то возможно поможет заведение отдельного порта rdp для админов (не знаю возможно ли повесить rdp для прослушки двух портов)

 

[mdss]

то есть если на русский лаконичный перевести
тебе нужно чтобы локальные юзеры rdp имели доступ только с локалки и не могли со внешних ip коннектица для управления, но при этом чтобы админы могли коннектица с любого ip ??
если так то я хз даже как гуглить

сложность в том, чтобы не только админы, но и некоторые другие пользователи. Например главбух не входит в группу Администраторы, но ей тоже нужен доступ с внешки. Вот такая вот задача неординарная

 

[o_nix]

придумал
1. совсем запретить коннект rdp со внешних ip
2. поднять на томже сервере vpn
3. админ или главбух коннектица к vpn а потом находясь в локальной сети со своими сетевыми правами коннектица к rdp

Изврат но на 100% рабочий.

 

[Asergey]

1. Сделать так что бы сервер кому попало не был доступен из вне.
2. Реализовать vpn на чем угодно.
3. Научить бухов настраивать vpn и запоминать пароли с логинами
Получится 2 авторизации, vpn - даст доступ из внешней сети только тем кому надо, авторизация людей входящий в локал груп RDP на серваке даст возможность RDP.