[AndyZ]

Добрый день Помогите решить задачу.
Имеем:
Одноранговая сеть (192.168.Y.X -255.255.255.0). Инет через роутер (192.168.Z.X)
На компьютерах доступ в Инет через дополнительную подсеть (192.168.Z.X.-255.255.255.0).  Доступ имеют не все. В основной сети имеются сетевые принтеры и плоттеры с адресами 192.168.Y.200-205.
Необходимо:
Создать изолированную рабочую группу с доступом к Интернету и возможностью печать на сетевые принтеры и плоттеры в основной сети  192.168.Y.200-205.

Первое что пришло на ум – локальная политика безопастности-назначение прав пользователя-отказ в доступе к компьютеру из сети. Добавить пользователя или группу-размещение-рабочая группа-дополнительно-поиск-Пупкин-применить и…. Облом :=((
«Не удалось сохранить База данных локальной политики».  Создавать на всех компьютерах пользователей Пупкин1,2,3… и назначать им права не хочется. Что можете посоветовать?

P.S. Что-то мне подсказывает что это можно решить чере маску подсети… Все компьютеры основной сетки лежат в диапазоне 1-128. Использовать для изолированной группы сетку 192.168.Z.X не решает вопроса, т.к. компьютеры имеющие доступ в Инет тоже попадают в эту подсеть. Параметры создаваемой группы - не имеет значение, лишь бы выполнялись условия.

[горобець]

ЗАЧЕМ??? у тебя же роутер есть. выведи всех в один плоский блин и тех кому не нужен доступ в инет отфильтруй на роутере по IP/MAC-адресам. зачем лезть в дебри форточек?

[masters]

ЗАЧЕМ??? у тебя же роутер есть. выведи всех в один плоский блин и тех кому не нужен доступ в инет отфильтруй на роутере по IP/MAC-адресам. зачем лезть в дебри форточек?

Это точно, по-моему самый простой вариант 

[Saurus]

ЗАЧЕМ??? у тебя же роутер есть. выведи всех в один плоский блин и тех кому не нужен доступ в инет отфильтруй на роутере по IP/MAC-адресам. зачем лезть в дебри форточек?

Это точно, по-моему самый простой вариант 

Дык.

[AndyZ]

ЗАЧЕМ??? у тебя же роутер есть. выведи всех в один плоский блин и тех кому не нужен доступ в инет отфильтруй на роутере по IP/MAC-адресам. зачем лезть в дебри форточек?

У меня не 1, а 2 роутера  В "лезть дебри форточек"  - у тебя научился 
Но вопрос то не в этом!  Интернет - дело вторичное, хотя и необходимое! Ключевое слово изолированная рабочая группа.  Она не должна пересекаться с основной, но получать доступ доступ к принерам и плотерам основной. Ну и Инет нужен... Так что проблема не в фильтрации по макам....

[masters]

У меня не 1, а 2 роутера  В "лезть дебри форточек"  - у тебя научился 
Но вопрос то не в этом!  Интернет - дело вторичное, хотя и необходимое! Ключевое слово изолированная рабочая группа.  Она не должна пересекаться с основной, но получать доступ доступ к принерам и плотерам основной. Ну и Инет нужен... Так что проблема не в фильтрации по макам....

Еще проще.
Один роутер ставишь в сети 192.168.Z.X на инет. На нем статик роут на второй роутер для сети 192.168.Y.X
Второй роутер между сетями. LAN - портом на 192.168.Z.X и WAN на 192.168.Y.X Включаешь на нем НАТ.

В итоге получаешь: сеть 192.168.Z.X видит инет и вторую сеть, а сеть 192.168.Y.X не видит ничего.

[горобець]

ога, вариант.

2AndyZ
а если заморачиваться с дебрями форточек - так это тебе контроллер домена поднимать нужно и конфигурить, конфигурить, конфигурить...
и курить мануалы. много.
не самый простой путь решения простой проблемы 

[AndyZ]

У меня не 1, а 2 роутера  В "лезть дебри форточек"  - у тебя научился 
Но вопрос то не в этом!  Интернет - дело вторичное, хотя и необходимое! Ключевое слово изолированная рабочая группа.  Она не должна пересекаться с основной, но получать доступ доступ к принерам и плотерам основной. Ну и Инет нужен... Так что проблема не в фильтрации по макам....

Еще проще.
Один роутер ставишь в сети 192.168.Z.X на инет...

Второй роутер стоит на втором (резервном) канале Инета. Сугубо для клиент-банк. Я понимаю что за последние полтора-два года я им пользовался не больше 5 раз, но все же... Когда фин. директор кричит что до конца банковского дня осталось 10-15 минут и нужно обязательно сегодня отправить деньги, нет ни время, ни возможности, ни желания перекоммутировать и перенастраивать этот роутер... Сейчас, в случае отсутствия основного инета, нажал кнопочку в NetSetMan и через 10-15 сек перешел на резервный канал. Это научил делать даже в мое отсутствие 

В итоге получаешь: сеть 192.168.Z.X видит инет и вторую сеть, а сеть 192.168.Y.X не видит ничего.

Не видит ничего - это не гуд. Надо еще и печатать на сетевые принтеры-плотеры...

а если заморачиваться с дебрями форточек - так это тебе контроллер домена поднимать нужно и конфигурить, конфигурить, конфигурить...
и курить мануалы. много.

Ну спасибо, утешил. Это я без тебя знаю. Но много курить - вредно. Хотя при нынешних ценах на сигареты, придется курить и мануалы... Все равно рано или поздно придется осваивать. Опыт лишним не бывает. Но только не сейчас.

не самый простой путь решения простой проблемы 

Ну как оказалось и не такой уж простой, ежели про домен стали говорить :-)

P.S. Неужели маской и адресами нельзя разбить сеть на подсети? Основной группе 255.255.255.0, а для отсечения выделенной группе 255.255.255.240 с адресацией 192.168.0.193-253 (192.168.1.193-253) и в этот пул перенести роутер и сетевые принтеры?

[masters]

Второй роутер стоит на втором (резервном) канале Инета. Сугубо для клиент-банк. Я понимаю что за последние полтора-два года я им пользовался не больше 5 раз, но все же... Когда фин. директор кричит что до конца банковского дня осталось 10-15 минут и нужно обязательно сегодня отправить деньги, нет ни время, ни возможности, ни желания перекоммутировать и перенастраивать этот роутер... Сейчас, в случае отсутствия основного инета, нажал кнопочку в NetSetMan и через 10-15 сек перешел на резервный канал. Это научил делать даже в мое отсутствие 

Ну это уже тебе решать, можно купить еще 1 роутер. Твоя работа по настройке этого всего на контроллере домена выйдет в 10 раз дороже 

Не видит ничего - это не гуд. Надо еще и печатать на сетевые принтеры-плотеры...

Имелось ввиду - кроме своей сети. Ты ж сам говорил что плоттеры в первой сети 192.168.Y.X.

[AndyZ]

У меня не 1, а 2 роутера  В "лезть дебри форточек"  - у тебя научился 
Но вопрос то не в этом!  Интернет - дело вторичное, хотя и необходимое! Ключевое слово изолированная рабочая группа.  Она не должна пересекаться с основной, но получать доступ доступ к принерам и плотерам основной. Ну и Инет нужен... Так что проблема не в фильтрации по макам....

Еще проще.
Один роутер ставишь в сети 192.168.Z.X на инет...

Второй роутер стоит на втором (резервном) канале Инета. Сугубо для клиент-банк. Я понимаю что за последние полтора-два года я им пользовался не больше 5 раз, но все же... Когда фин. директор кричит что до конца банковского дня осталось 10-15 минут и нужно обязательно сегодня отправить деньги, нет ни время, ни возможности, ни желания перекоммутировать и перенастраивать этот роутер... Сейчас, в случае отсутствия основного инета, нажал кнопочку в NetSetMan и через 10-15 сек перешел на резервный канал. Это научил делать даже в мое отсутствие 

В итоге получаешь: сеть 192.168.Z.X видит инет и вторую сеть, а сеть 192.168.Y.X не видит ничего.

Не видит ничего - это не гуд. Надо еще и печатать на сетевые принтеры-плотеры...

а если заморачиваться с дебрями форточек - так это тебе контроллер домена поднимать нужно и конфигурить, конфигурить, конфигурить...
и курить мануалы. много.

Ну спасибо, утешил. Это я без тебя знаю. Но много курить - вредно. Хотя при нынешних ценах на сигареты, придется курить и мануалы... Все равно рано или поздно придется осваивать. Опыт лишним не бывает. Но только не сейчас.

не самый простой путь решения простой проблемы 

Ну как оказалось и не такой уж простой, ежели про домен стали говорить :-)

P.S. Неужели маской и адресами нельзя разбить сеть на подсети? Основной группе 255.255.255.0, а для отсечения выделенной группе 255.255.255.240 с адресацией 192.168.0.193-253 (192.168.1.193-253) и в этот пул перенести роутер и сетевые принтеры?
Пошел я на работу, буду экспериментировать...

[AndyZ]

Ну это уже тебе решать, можно купить еще 1 роутер. Твоя работа по настройке этого всего на контроллере домена выйдет в 10 раз дороже 

Можно конечно и роутер купит, не поднимать же из-за этого домен. Буду пробовать...

Имелось ввиду - кроме своей сети. Ты ж сам говорил что плоттеры в первой сети 192.168.Y.X.

"И опыт, сын ошибок трудных, и гений, парадокса друг..." Хотелось обойтись малой кровью, но придется пробовать, экспериментировать...

[горобець]

вопрос в другом - если ты не поднимал контроллера домена никогда, то лучше по такой мелочи и не связывайся с ним ибо... ибо геморрой. там СТОЛЬКО всякой на первый взгляд мелкой и несущественной ерунды которая на самом деле весьма и весьма существенна и совсем не ерунда.

[Чендлер Бинг]

вопрос в другом - если ты не поднимал контроллера домена никогда, то лучше по такой мелочи и не связывайся с ним ибо... ибо геморрой. там СТОЛЬКО всякой на первый взгляд мелкой и несущественной ерунды которая на самом деле весьма и весьма существенна и совсем не ерунда.

от не надо ля-ля! геморрой!? все нормально настривается с одного раза. Достаточно пары дней и хорошей книги по серверной винде! с

[masters]

от не надо ля-ля! геморрой!? все нормально настривается с одного раза. Достаточно пары дней и хорошей книги по серверной винде! с

Это если просто пользователей забить и компы подвесить. Ну максимум еще локальные политики настроить.
А если затронешь еще RRAS, то в этом случае книгой не отделаешься. А человеку именно это и нужно будет.

[AndyZ]

вопрос в другом - если ты не поднимал контроллера домена никогда, то лучше по такой мелочи и не связывайся с ним ибо...

Я что, так сильно похож на мазохиста??? 
Не, на ходу перестраивать пусть и одноранговую, но рабочую сеть из-за таких мелочей - НЕ ХОЧУ и не буду! Просто представляю что это такое. 

от не надо ля-ля! геморрой!? все нормально настривается с одного раза. Достаточно пары дней и хорошей книги по серверной винде! с

Люблю я этих, как его, "оптимистов" 

Это если просто пользователей забить и компы подвесить. Ну максимум еще локальные политики настроить.
А если затронешь еще RRAS, то в этом случае книгой не отделаешься. А человеку именно это и нужно будет.

Не не надо будет. Ленивый я наверное. Решилось все гораздо проще
Просто на "изолированных" компьютерах прописал IP 192.168.0.193-254 (255.255.255.192). В этом диапазоне кроме принтеров и плотеров не живет ничего. Для инета доп.адрес 192.168.1.2-6 (255.255.255.248). В этом диапазоне тоже ничего не живет кроме роутера интернета и меня :=))
В результате имеем изоляцию от основной сетки, возможность печати и выход в Интернет. Вот и все, вопрос решен.