我有两个承包商需要访问我们的 SQL LOB 应用程序。他们将通过 VPN 连接到通过 DC 上的 RADIUS 进行身份验证的路由器。现在,有问题的两台服务器都是 DC。创建的用户是安全组的成员 - VPN 用户。附加到该组的唯一安全权限是拨入访问。
在纸面上,这应该是直截了当的。美中不足的是,这些服务器上可能有 75% 的共享权限包括经过身份验证的用户的完全访问权限。不要问为什么,不,目前没有机会纠正这个问题。
SQL 存在于 DC2 上,但客户端软件上的 ODBC 设置否定了对域身份验证的任何需求。所以,我需要做的就是阻止这些 VPN 用户浏览网络以获取共享并访问它们。
我曾尝试在 DC 安全策略中设置“拒绝从网络访问”,但这似乎没有帮助。
有关信息:两台服务器都是 W2003 SP2 标准。客户端将使用 XP/Vista。
TIA
有没有机会在 DMZ 而不是 LAN 上终止 VPN?如果是这样,那么您可以通过端口 1433 上的 DMZ -> LAN 到您的 SQL 服务器打一个洞。
如果是我,我不希望任何人的计算机不是由我公司维护的人在我公司的网络上。因此,将它们放在自己的 DMZ 中的原因。如果他们感染了病毒,或者是垃圾邮件机器人网络的一部分并开始通过 VPN 隧道从您的 Internet 连接发送垃圾邮件怎么办。对于偏执的人来说,有很多可怕的场景。:-)
也许将它们添加到共享位于服务器上的驱动器上的安全规则中?拒绝规则总是优先于任何基于允许的规则。
感谢大家。我能够使用的唯一方法是为该用户在所有共享上发布拒绝权限。有点痛苦,但可以说没有时间重新发明轮子