Народ, помогите, пробовал искать по форуму, ответа не нашел, если есть, то воткните носом
Проблема вот в чем. Есть сеть из 11 компов (3 кабинета, в каждом хаб). Возникла необходимость запретить доступ к одному из компьютеров, на котором стоит Win2k для 2 из 3 кабинетов. Очень хотелось реализовать все малой кровью, пароли ставить не хочется. Вот, решил релизовать с помощью политики безопастности Windows. Сделал все как было описано на сайте 3dnews (http://www.3dnews.ru/communication/firewall2000xp). Все получилось, все кого я запретил, не имели доступа к этому компу. Но вот беда. Все компы, которым запрещен был доступ, не видели никого в сетевом окружениии, они там были, мы их видели, а они как бы "ослепли", только поиск компьютеров работал да и подключение сетевых дисков. Что странно, как только я отключал правило, которое блокирует доступ, все ставало на свои места и все всех видели. Опять включал, опять проподало у них сетевое окружение. По иронии доли все эти ослпшие тачки под Win98, так что я не могу узнать дело ли в операционки. Я пробовал применять такое же правило на компьютере под WinXP, все работает отлично, они из сети не пропадали, а доступ к компу был запрещен. Еще более интересно, что та машина под Win2k (она единственная) совсем ни какой не шлюх и не сервер, обычная тачка как и все остальные. Получается, как бы этот комп стал глушителем сети для всех, кто был не разрешен для доступа к нему.
Я уже было подумал, что это проделки Win2k, тоесть его firewall'а, и поставил ZoneAlarm, разрешил доступ для разрешенных машин. По началу мне казалось что все хорошо, но на следующий день ситуация повторилась, стоило мне только выключить ZoneAlarm, как все ставало на свои места.
Кто подскажет, в чем тут проблема, как такого избежать (не хочу ставить для всех пароли, просто хочу определенным IP запретить доступ, все остальным оставить гостевой доступ. Все в одной Workgroup). Заранее благодарен.

Как вариант подключи сетевые диски

По-моему факт на лицо

Как вариант поставь на те тачки ХР

То есть через Zone у тебя все работало? Зачем тогда убрал?
По моему пароли ли то как раз и были бы той малой кровью о которой ты говорил.
P.S. А сеть вообще как реализована? Через тачку с win2k народ в и-нет ходит и на ней же бухгалтерия ? (ну вообщем по-подробней plz) Удачи.

And-U
Да ты просто жестокий извращенец
1 Желательно,чтобы ОС везде стояла одна - либо 9х либо 2к/ХР
2 Никаких файерволлов внутри офисной сети быть не должно,это глупость.

Машины с 9х слепы потому, что там авторизация по сети идет на уровне пользователя, а не на уровне айпи-адреса.
В идеале все должно быть так:ОС везде одного типа и на каждой машине прописано количество юзеров по общему количеству сотрудников,имеющих доступ к ПК,например Админ,юзер1,юзер2,юзер3 - и так везде. Далее прописываешь права каждому и доступ к папкам - тут придется делать пароли. А почему бы и нет?..и еще объясни - зачем тебе полностью ограждать эти компы от сети?

Вы немножко не поняли, мне не надо совсем ограждать эти компьютеры от сети. так уж получилось. Подключать как сетевые диски сразу отказались, так как если нужен доступ к 10 компьютерами и если на каждом как минимум 3 расшареных ресурса, то что же это, подключать 30 дисков? (10 как минимум ) Через ZoneAlarm видать мне только казалось что все работало, я поставил вечером, посмотрел на тех тачках есть ли сеть, она была, так как перед его установкой никаких файрволов не было и все всех видели, утром прихожу, а уже нет сети. Видать после перезагрузки эти компы уже не моглм попасть в сетевое окружение.
А вообще я сеовсем не админ в этой сети, у нас каждый сам себе админ, и сказать что вот установи себе ХР я не могу, тоесть могу, но это еще не факт что меня послушаются Про ХР я говорил что если я на своей тачке, где у меня стоит ХР, я устанавливал такую же политику безопастности доступа к компьютеру, то никаких проблем не было.
Сеть организована так, есть 3 кабинета, в одном кабинете 5 компов, во втором 2, в третьем 4. Всюду хабы, в каждом кабинете по 1 шт, они соеденены между собой. В том кабинете, что 5 компов, есть одна тачка, на которой находятся всякие геодезические карты, на ней Win2k, тоесть доступ к этим картам должны иметь только те, кто работает в этом кабинете + 1 человек из второго кабинета. Изначально требовалось разграничить это все дело на уровне ресурсов, но так как без паролей тут не обойдется, то я решил что тогда пускай "чужие" компы вообще не будут иметь доступ к этой машине. Напоминаю, эта машина никакая не особенная, ни сервер доступа, ни шлюз, просто обычный компьютер. И вот хотелось сделать так, что бы определенные IP не могли иметь доступ к этому компьютеру (или наоборот, только определенные IP имели), я и решил что файрвола хватит. Все остальные могли свободно пользоваться этим компом, паролей не нужно. И вот так получилось, что этот файрвол глушил все тачки, которым было запрещено "общаться" с этим компом, и они не могли попасть в сетевое окружение, но только со своей стороны, так как мы их всех все же видели, а они нас нет.

And-U
Повторюсь - никаких файерволлов в локальной сети! Поговори с начальством - должны быть единые правила для всех компов,т.е. должен быть админ, и доступ надо разграничить на уровне пользователей,а не компьютеров..вообщем перечитай мой предыдущий пост - там все написано,как должно быть у нормальных людей,иначе бардак=)

ты насколько я понял через сетевое окружение заходишь
попробуй использовать какой нибудь сетевой сканер
может поможет

Добавлено спустя 8 минут, 40 секунд:


почему ?
у нас в общежитии локальная сеть на 500 компов
у половины стоят фаерволы и все нормально пашет
причем насчет того что должны быть одинаковые операционки то тут тоже такое некатит
просто железо у всех разное да и вкусы тоже

Мне кажется проблема в следующем: комп с w2k становится главным или запасным обозревателем рабочей группы (master/backup browser), и компы с Win98, которым туда доступ запрещен, не могут получить с него списки компьютеров их рабочей группы.
Я предлагаю изменить в реестре следующие параметры:
HKLM\System\CurrentControlSet\Services\Browser\Parameters
MaintainServerList = No
IsDomainMaster = No
и перегрузиться...
Эти настройки запретят машине с W2K становиться обозревателем рабочей группы. Возможна проблема будет решена.

Stranger
LOL! У меня тоже там,где я живу ЛВС микрорайона на 600 компов м общим выходом в инет! Естессно там без файра нельзя,так как это фактически помойка/беспредел! Я имел ОФИСНУЮ сеть! Там никаких файров внутри быть не должно и все должно быть стандартизированно, так админу проще..в противном случае бардак=)

Вот-вот, в твоей и в моей сети так гораздо быстрее/надежнее, а в офисе все ДОЛЖНО работать через сетевое окружение. ИМХО,юзать сканер в офисной сети,где менее 10 компов - смешно

TO And-U
Мля 11 тачек и нету админа. Каждый сам за себя, да там такого натворить можно.
ИМХО поговори с начальством пускай берут админа на работу- и это однозначно.
Так у тебя в и-нет люди не ходят. Если нет тогда действительно зачем файер? Smile правильно тебе написал - Внутри сети никаких файеров. Он нужен если у тебя есть и-нет.
А свою проблему решай следующим образом:
1.Раз у тебя есть win2k то на ней создаешь учетные записи пользователей тех которым ты хочешь дать доступ на определенный ресурс,доступ и так далее
2. Тех кого не хочешь видеть в юзерах не давай даже гостя.
3.Если все настроено правильно то : на машинах с 98 при обращении к win2k будет спрашиваться пароль на доступ, а сеть будет видна.
4.Если же ситуация с ослеплением повториться - дай гостя на какой нибудь ненужный ресурс(файл или папку) просто чтобы был минимальный доступ.
5.По идеи должно все работать.
6.Учи мат.часть и применяй на практике.
7.www.networkdoc.ru - это как раз мат.часть.
8.Удачи

нет админа, не хочу админа, не нужен админ, мне еще этим не хватало заниматься.
Все что нужно, запретить на компе с Win2k к конкретной шаре доступ определенным IP, но так как это реализуется с помощью учетных записей, то решил просто не играться и запретить им доступ к компу.
Завтра попробую это шаманство с реестром, если уж не поможет придется создавать учетные записи.

And-U
Еще раз для тех,кто в танке:в винде НЕЛЬЗЯ запретить доступ к определенной шаре конкретному айпи, только конкретному пользователю=) Ну и сиди в этом барадаке - ты спросил совета - тебе сказали как надо..не хочешь:твое дело %)

And-U
Нужен Windows 2000 Server, чтобы поднять на нем Active Directory (или Windows NT как Primary Domain Controller), чтобы пользователи ЦЕНТРАЛИЗОВАННО авторизовались... После этого ставишь ограниченые разрешения на необходимые шары и все... Попутно можно воспользоваться встроенной в Windows 2000 Server DFS (Distributed File System) и цеплять только одну шару (DFS root)... Остальные шары будут присутствовать в DFS'е как подкаталоги...

STranger_
Ставить такого монстра для таких целей..это не решит проблем..админ должен быть=) А если на каждой машине "свой" админ,то бардак будет продолжаться..

Итак, свой вопрос я решил.
Для тех кто не в танке: Я ПРЕКРАСНО ЗНАЮ ЧТО В ВИНДЕ НЕЛЬЗЯ ЗАПРЕТИТЬ ДОСТУП К КОНКРЕТНОЙ ШАРЕ КОНКРЕТНОМУ АЙПИ, ИСПОЛЬЗУЯ ВСТРОЕНЫЕ СРЕДСТВА WINDOWS. Поэтому я и решил, фиг с вами, не получите ничего, и зарыл все порты от этих компов. Бардака вообще-то нет, каждый имеет свою систему, каждый себе ставит то что хочет для своей работы, каждый отвечает за свой комп. Конечно, есть тачки который приходится самому держать в руках, так как за ними работают юзвери. Кроме того, все же какой-то контроль за состоянием сети осуществляется. Но дело не в том. Я просил совета как мне поправить ситуацию, я его получил.
Большое спасибо BiTA за дельный совет, оказывается это действительно в этом была проблема. Правда не сразу заработало, пришлось отключить наши компы от их, тогда ихнее компы поняли что нет больше обозревателя группы, и создали себе своего Более того, я все же решил вернуться к файрволу, встроеному в винду и добить его настройки. Если раньше я запрещал любой траффик, то теперь запретил только входящие TCP пакеты на 139 порт от этих компов, соответсвенно все работает, кроме NetBios, теперь никто из запрещеных не может залезть на комп, зато из компа можна лазить куда угодно. Наверное если я сделал это раньше, то может бы такой проблемы не было бы, я не знаю как работает этот обозреватель групы, по NetBios'у или через какой-то другой порт.
Еще раз спасибо всем кто участвовал в обсуждении этой проблемы.

And-U

Сорри,но это и есть самый настоящий бардак..рад,что ты решил свою проблему,хоть и не так,как надо=)

это еще не бардак...проблем в работе никаких не возникает, если и возникают, то они решаются, как вот сейчас например Не такая уж и большая сеть. А проблемка то решилась как раз так как и надо было )

And-U
Ну представь один себе поставит что-нить такое..а аукнется всем=) Это к примеру..

Все хорошо, что хорошо кончается.
Respect 2 Sekt0r47

Вот-вот

Добавлено спустя 2 минуты, 6 секунд:

Вот как в моем случае. Тогда этот вопрос попробую проконтролировать я, или кто-то еще, в результате будут все довольны

Eto mne respect???

Tim, tebe!!! Nu i And-U tozhe