Talvez adicioná-los às regras de segurança nas unidades em que os compartilhamentos residem nos servidores? As regras de negação sempre substituem as regras baseadas em permissão.
Eu tenho dois contracters que precisam de acesso ao nosso aplicativo SQL LOB. Eles estarão conectando via VPN a um roteador que autentica via RADIUS no DC. Agora, os dois servidores em questão são DCs. Os usuários criados são membros do grupo de segurança - usuários VPN. Os únicos direitos de segurança anexados a este grupo são o acesso de discagem.
No papel, isso deve ser simples. A mosca na pomada é que talvez 75% das permissões de compartilhamento nesses servidores incluam o Acesso Completo para Usuários Autenticados. Não pergunte por que e não há chance de corrigir isso no momento.
O SQL reside no DC2, mas as configurações de ODBC no software cliente negam qualquer necessidade de autenticação de domínio. Então, tudo que preciso é impedir que esses usuários de VPN naveguem na rede em busca de compartilhamentos e acessem-nos.
Eu tentei definir "Negar acesso da rede" na Política de segurança do DC, mas isso aparentemente não ajudou.
Para informações: Ambos os servidores são W2003 SP2 Standard. Os clientes usarão o XP / Vista.
TIA
Alguma chance de encerrar a VPN em uma DMZ na LAN? Se assim for, então você poderia perfurar um buraco através do DMZ - > LAN na porta 1433 para o seu servidor SQL.
Se fosse eu, não gostaria que alguém cujo computador não fosse mantido por minha empresa na rede da minha empresa. Assim, a razão para colocá-los em sua própria DMZ. E se eles pegarem um vírus, fizerem parte de uma rede spambot e começarem a enviar spam pelo túnel VPN para fora da sua conexão com a Internet? Há muitos cenários assustadores para uma pessoa paranóica. : -)
Obrigado a todos. O único método que eu era capaz de empregar era emitir direitos de negação em todos os compartilhamentos para esse usuário. Um pouco de dor, mas não houve tempo para reinventar a roda, por assim dizer