Изоляция терминального сервера

[superpalych]

Имеется сеть. В сети:
40 рабочих станций: WinXP SP2, KAVclient, StatWinclient, DeviceLockclient (находятся под полным контролем).
2 ноутбука: WinXP SP2 и Vista (контроль не возможен).
1 шлюз: WinXP SP2, KWF, KMS.
1 главный сервер: Win2k3 SP2, AD, GP, DNS, KAVserver, StatWinserver, DeviceLockserver.
1 терминальный сервер: Win2k3 SP2, 1С, Office2k3.
1 управляемый коммутатор 2-го уровня D-Link 3550.
Необходимо
1. Все пользователи имели выход в интернет.
2. Ничего нельзя было вынести из терминального сервера за пределы офиса.
Путь решения, который Я вижу:
1. Создать два VLAN'a, добавив в один из них два ноутбука и шлюз, а в другой все рабочии станции, оба сервера и шлюз.
2. Запретить выход в Интернет с терминального сервера.
3. Запретить расшаривание ресурсов на рабочих станциях.
4. Запретить терминальным пользователям доступ к общим сетевым папкам.
Вопрос:
Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

 

[axlwor]

1. Запрети http/mail/etc или вообще инет с терминального сервера по ip. (под рукой нет керио.... - не подскажу)
2. Дурацкий способ - отключи основной шлюз на терминальном серваке

 

[okun]

+1 за конфигурацию

Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

Как быть с клиентскими принтерами?

 

[superpalych]

1. Запрети http/mail/etc или вообще инет с терминального сервера по ip. (под рукой нет керио.... - не подскажу)
2. Дурацкий способ - отключи основной шлюз на терминальном серваке

Это то понятно. Для чего, по твоему, стоит KWF?

+1 за конфигурацию Как быть с клиентскими принтерами?

В этом главная проблема: нужно пустить к принтерам, но не пускать к общим папкам, которые они могут создать на ноутбуках.

 

[okun]

Можно запретить создание общих папок всем, в том числе и локальным админам, оставив это право админу домена. Единственное, тогда становится невозможным создание новых принтеров (хотя возможно, это у меня так).

Уже созданные папки ограничить в правах либо удалить, оставив их на файловом сервере.

Если контроль ноутбуков невозможен, тогда VLAN наверное будет верным решением.

Ещё вариант поставить на терминальном сервере пакетный файрвол, либо настроить встроенный.

 

[superpalych]

Можно запретить создание общих папок всем, в том числе и локальным админам, оставив это право админу домена. Единственное, тогда становится невозможным создание новых принтеров (хотя возможно, это у меня так).

Не являюсь я админом ноутбуков.

Уже созданные папки ограничить в правах либо удалить, оставив их на файловом сервере.

Сделано уже давно.

Если контроль ноутбуков невозможен, тогда VLAN наверное будет верным решением.

Я его рассматриваю, как резервный

Ещё вариант поставить на терминальном сервере пакетный файрвол, либо настроить встроенный.

Какой посоветуешь? Чтобы попроще и побыстрее.

 

[okun]

Какой посоветуешь? Чтобы попроще и побыстрее

Как правило, советую VisNetic Firewall

Немного о нем на русском

 

[SoftIce]

А нельзя просто на терминальном сервере убрать шлюз по умолчанию или прописать на любой другой компьютер, но не шлюз.
Тогда выхода в инет с него не будет.

 

[Krankensteins]

PROXY server