Включить Брэндмауер с настройками - запретить RDP всем IP кроме области - и пишите какие IP разрешить!
Не забудьте свой прописать. »
А можно подробней как это сделать.
Мне нужно чтобы к серверу АД был доступ только с одной админской тачке, а все остальные могли с ним работать как с файл принт и т.д. сервером.

В настройках терминального сервера запретите вход всем, кроме админа. Или такой вариант не подходит?

Мне нужно чтобы к серверу АД был доступ только с одной админской тачке, а все остальные могли с ним работать как с файл принт и т.д. сервером
а зачем там AD, если он только для одного админа?
GreenIce, подробно можно изложить задачу, если она вообще соответствует теме(?)

я тоже терминал разрешил доступ из интернета. Ну бывает моменты, что надо удаленно администрировать...
и мне тоже заинтересовывал безопасность ! на самом деле если RDP не лучшее решение, а что самое безопасное и удобнее ? как-то столько не изучаю, но VPN для меня остается каким-то зверем, с которым не хочу связыватся :biggrin:
Очень хотел бы знать, когда есть прямое подключение через RDP с инета к серверу, всякие неумные персоны смогут брутить пароль к входу в систему ? и заодно интересут, где поставить ограничение по блакировки "попытка не удачного входа", чтоб если 3 раза не парвильно ввели - блокировал по IP или че-то еще....

VPN очень хороший и добрый зверь. Спасает от многих проблем. Обычно, я публикую сервисы через ISA. Он позволяет достаточно тонко настроить политики доступа. Это из разряда Best Practics. Но если нет возможности, используйте серверную оснастку Маршрутизация и удаленный доступ. Создайте прослушиватель для входящих подключений VPN. А вот доступ к VPN раздавайте в AD, в свойствах пользователя на вкладке Dial-In.
GreenIce, вообще доступ обычным пользователям на контроллер домена не самая лучшая практика. Если они его вам уронят, натолкав вирей и подобного... Вы горючими слезами заливаться будете, т.к. неправильная его работа парализует сеть. Ищите другое решение, добрый вам совет.

а зачем там AD, если он только для одного админа?
GreenIce, подробно можно изложить задачу, если она вообще соответствует теме(?) »
В домене есть 50 компов, я хочу чтобы у пользователей не поднималось окно для терминальной сессии с сервера. Т.е. если с тачки админа я зайду по рдп то сеанс поднимается, а с любой другой писало бы что сервер терминалов не доступен.

GreenIce, т.е. в свойствах юзеров RDP разрешен, значит по MAC/IP дожно определяться разрешен ли сеанс RDP?

Да, в сети есть терминальный сервер, к которому доступ нужен всем, а к серверам чтоб даже не предлогал.

А саму политику RDP можно так настроить? чтоб после нескоько неудачного ввода пароля - блокировался?

А саму политику RDP можно так настроить? чтоб после нескоько неудачного ввода пароля - блокировался? »
А причем здесь RDP насколько я понимаю там стандартная политика авторизации, как в политике настроенно так и блокироваться будет.

GreenIce,

как в политике настроенно так и блокироваться будет. »

А это точно так, или ваше мнение? и если можете - скажите какие ограничение испольозется

У меня пользователи блокируются если 5 раз неправильно ввели пароль. Если пользователи доменные, то на них действуют ограничения из доменной политики, если локальные то соответственно с политике компьютера.

А это точно так, »
точно
А можно подробней как это сделать. »
Панель управления -> Брендмауер -> Включить -> Исключения -> Дистанционное управление рабочим столом -> ИЗМЕНИТЬ -> Изменить ОБЛАСТЬ -> Особый список -> и пишите туда IP админского компа.

exo,
я думаю это не лучшее решение, т.к. я как админ, могу подключится с разных точки города и даже страны. у меня всегда разные IP могут быть..
firewall - думаю тут уже не поможет в это деле. тут мне кажется надо с политикой что-то делать, чтоб только определенные пользователи смогли подключится через интернет. а остальным разрешать только локальное подключение.

Панель управления -> Брендмауер -> Включить -> Исключения -> Дистанционное управление рабочим столом -> ИЗМЕНИТЬ -> Изменить ОБЛАСТЬ -> Особый список -> и пишите туда IP админского компа. »
Да делал я так, по остальным галочки поставил локальная подсеть, после этого сеть умерла, пока назад не отключил.

чтоб только определенные пользователи смогли подключится через интернет »
Расскажите про модель доступа. Чем у Вас ограничиваются внешние подключения?

я думаю это не лучшее решение, т.к. я как админ, могу подключится с разных точки города и даже страны. у меня всегда разные IP могут быть.. »
для меня подходит, я админ, IP получаю динамические, так что ввёл две сети класса В (домашние сети) и пару IP - рабочие IP. + есть сервер на который есть доступ отовсюду и с него можно зайти.после этого сеть умерла, »
О_0 пинг пропал? а в исключениях "общий доступ к файлам и принтерам" отметили? не знаю как это влияет на пинг, но работает.
Чем у Вас ограничиваются внешние подключения? »
группой Remoute Desktop Users или как-то там... Т.е. дело до аунтификации дойдёт, а вот дальше фигушки...

группой Remoute Desktop Users или как-то там... Т.е. дело до аунтификации дойдёт, а вот дальше фигушки...
"аунтификации" для чего? и почему дальше фигушки?

реально не понятно как и что работает у здешних участников темы!

"аунтификации" для чего? »
пользователя. Вы входите по рдп на сервер, вам нужно ввести учётные данные пользователя. Вы вводите, но он не входит в группу ремоут десктоп юзерс (также терминал сервер юзерс) и получает фигушки. А если бы он входил в группу - то зашёл бы на сервер. А вот если рубить по IP, то до аунтификации дело не дойдёт, т.к. клиент рдп скажет: сервер не отвечает.

exo, понятно, спасибо. Т.е. ты по IP не рубишь, а доспускаешь до окна логина?