[Mr.Bean]

Подскажите, пожалуйста, ещё по одному вопросу... Есть сервак в датацентре, Windows 2008 Standart. На нём подняты AD и RDP, VPN отсутствует. Нужно разрешить отдельным пользователям коннектиться только с определённого айпишника. Можно ли это реализовать штатными средствами винды?

[Master_volia]

Подскажите, пожалуйста, ещё по одному вопросу... Есть сервак в датацентре, Windows 2008 Standart. На нём подняты AD и RDP, VPN отсутствует. Нужно разрешить отдельным пользователям коннектиться только с определённого айпишника. Можно ли это реализовать штатными средствами винды?

Добрый день. Можно с помощью правил для входящих подключений в брандмауэре Windows.
Необходимо в областях в Удаленных IP-адресах указать необходимые для вас IP.

[dmp]

Нужно разрешить отдельным пользователям коннектиться только с определённого айпишника

Так в том то и дело, что _отдельным_ пользователям. А в данном случае, правило - глобальное.
Это какая-то нестандартная хрень.
Разверни RDP ферму, и пропиши права доступа на каждом узле )

p.s. Можно покопать в сторону powershell скрипта, который просмотрит свойства удаленных соединений, и обрубит коннекцию, если не с того айпишника зашел юзер - х.з.
http://discoposse.com/2012/10/20/finding-rdp-sessions-on-servers-using-powershell/
http://www.virtualizationadmin.com/articles-tutorials/vdi-articles/general/using-powershell-control-rds-windows-server-2012.html
https://technet.microsoft.com/en-us/library/jj215451.aspx

[горобець]

а в чем проблема поднять VPN?

[masters]

Если брутят - можно просто перевесить RDP на какой-нибудь нестандартный порт. Помогает

[dmp]

Можно еще поднять Certificate Authority, кажому юзеру выдать сертификат, в настройках правил файрволла указывать, что соединение должно быть защищено, и создать connection security rules.
В гугле много информации на эту тему.
Только вот, корневой центр центр сертификации просто обязан быть выделенным, без доступа в Интернет, чтобы не иметь возможность быть скомпрометированным.
В итоге - если подлинность, на основании сертификата, который у пользователя, не сможет быть подтверждена - соединение не сможет быть установлено.

[Enakievo]

можно еще сканеры поставить:
один - снимает отпечатки пальцев. второй - сканирует сетчатку глаза.
третий - берет ДНК из пробы слюны.
Также поставить анализатор голоса и применить eToken 
И не забыть термический анализатор лица

[Mr.Bean]

Если брутят - можно просто перевесить RDP на какой-нибудь нестандартный порт. Помогает

Нет, там в другом дело Нужно чтобы отдельные пользователи могли работать только из офиса.

а в чем проблема поднять VPN?

В принципе, можно, но как это поможет? Пока самым лучшим вариантом кажется скрипт.

[dmp]

А если вот такой костыль (один port - ходить только из офиса, второй port - только не из офиса)
1) Воткнуть в сервер вторую сетевую карту, для приватного IP адреса
2) Подключить сетевые карты через роутер
3) На роутере включить DHCP, сделать биндинг выдаваемого приватного IP адреса к MAC
4) Сделать на роутере port forwarding: нестандартный_rdp_port_1->3389_private_ip_address_ 1, нестандартный_rdp_port_2->3389_private_ip_address_ 2
5) На сервере поднять виртуализацию (например, virtualbox), на втором сетевом интерфейсе, с вендой и терминальным сервером.

6) в настройках фаерволла двух венд: обычные IP ходят только на ip_1, необычные офисные - только на ip_2

Зашел офисный чуваг на терминальный сервер виртуальной машины - и сразу запустил оттуда второе RDP соединение с host os.

[Mr.Bean]

А если вот такой костыль (один port - ходить только из офиса, второй port - только не из офиса)

Думаю, мне потом этот костыль в ж... засунут О_о

[dmp]

Это почему же?
Enterprise grade костыль, да еще и с виртуализацией, в жопу???

[горобець]

брррр, дык а в чем проблема с VPN с сертификацией по ключам?
вставил флешку - сертифицировалсо, получил доступ.

[Mr.Bean]

брррр, дык а в чем проблема с VPN с сертификацией по ключам?
вставил флешку - сертифицировалсо, получил доступ.

А какова вероятность того, что кто-то себе копию ключа на личную флешку сделает? Да и кроме офиса есть около двух десятков удалённых точек, из которых тоже люди работают

[горобець]

это на совести сотрудников.
у гл. буха обычно все ключи имеются от клиент-банка - и свой и директора. и обычно на флешке хранятся. можно скопировать и подарить кому-то мильйон...

[dmp]

Да и кроме офиса есть около двух десятков удалённых точек, из которых тоже люди работают

Можно попробовать трехстороннее приложение http://www.isdecisions.com/products/userlock/ (месячный триал - на сайте)
которое, судя по видео
http://www.isdecisions.com/products/userlock/access-control-management-to-windows-server-network.htm
4:35 может сделать ограничение по IP адресу юзера, который авторизован в AD
Да и репорты активности юзеров показывает.
При такой большой IT инфраструктуре, думаю, пару сотен евро за лицензию будет невнапряг

а иначе - авторизация по смарт-картам, которые цепями прикручены к столу