[GreenIce]

Цитата exo:

Включить Брэндмауер с настройками - запретить RDP всем IP кроме области - и пишите какие IP разрешить! Не забудьте свой прописать. »

А можно подробней как это сделать.
Мне нужно чтобы к серверу АД был доступ только с одной админской тачке, а все остальные могли с ним работать как с файл принт и т.д. сервером.

[Oleg Krylov]

В настройках терминального сервера запретите вход всем, кроме админа. Или такой вариант не подходит?

[dascon]

Цитата:

Мне нужно чтобы к серверу АД был доступ только с одной админской тачке, а все остальные могли с ним работать как с файл принт и т.д. сервером

а зачем там AD, если он только для одного админа?
GreenIce, подробно можно изложить задачу, если она вообще соответствует теме(?)

[krec]

я тоже терминал разрешил доступ из интернета. Ну бывает моменты, что надо удаленно администрировать...
и мне тоже заинтересовывал безопасность ! на самом деле если RDP не лучшее решение, а что самое безопасное и удобнее ? как-то столько не изучаю, но VPN для меня остается каким-то зверем, с которым не хочу связыватся
Очень хотел бы знать, когда есть прямое подключение через RDP с инета к серверу, всякие неумные персоны смогут брутить пароль к входу в систему ? и заодно интересут, где поставить ограничение по блакировки "попытка не удачного входа", чтоб если 3 раза не парвильно ввели - блокировал по IP или че-то еще....

[Oleg Krylov]

VPN очень хороший и добрый зверь. Спасает от многих проблем. Обычно, я публикую сервисы через ISA. Он позволяет достаточно тонко настроить политики доступа. Это из разряда Best Practics. Но если нет возможности, используйте серверную оснастку Маршрутизация и удаленный доступ. Создайте прослушиватель для входящих подключений VPN. А вот доступ к VPN раздавайте в AD, в свойствах пользователя на вкладке Dial-In.
GreenIce, вообще доступ обычным пользователям на контроллер домена не самая лучшая практика. Если они его вам уронят, натолкав вирей и подобного... Вы горючими слезами заливаться будете, т.к. неправильная его работа парализует сеть. Ищите другое решение, добрый вам совет.

[GreenIce]

Цитата dascon:

а зачем там AD, если он только для одного админа? GreenIce, подробно можно изложить задачу, если она вообще соответствует теме(?) »

В домене есть 50 компов, я хочу чтобы у пользователей не поднималось окно для терминальной сессии с сервера. Т.е. если с тачки админа я зайду по рдп то сеанс поднимается, а с любой другой писало бы что сервер терминалов не доступен.

[dascon]

GreenIce, т.е. в свойствах юзеров RDP разрешен, значит по MAC/IP дожно определяться разрешен ли сеанс RDP?

[GreenIce]

Да, в сети есть терминальный сервер, к которому доступ нужен всем, а к серверам чтоб даже не предлогал.

[krec]

А саму политику RDP можно так настроить? чтоб после нескоько неудачного ввода пароля - блокировался?

[GreenIce]

Цитата krec:

А саму политику RDP можно так настроить? чтоб после нескоько неудачного ввода пароля - блокировался? »

А причем здесь RDP насколько я понимаю там стандартная политика авторизации, как в политике настроенно так и блокироваться будет.