Доброго дня! Ситуация такая, нужно ограничить доступ к компьютеру по определённому TCP порту всем пользователям локальной сети за исключением некоторых. Задача простая, поэтому не хотелось бы использовать тяжёлую артиллерию, навешивать фаервол и т.д., а использовать встроенный брандмауэр. Для теста взял свой комп с Windows 7, включил Брандмауэр (всю жизнь отключал его сразу) и начал коннектится с соседнего компа по RDP. В интерфейсе всё ясно и понятно, вроде бы, как казалось, но!

Надо заметить, что брандмауэр "девственно чистый", т.е. все настройки и правила как по умолчанию в винде.
Для чистоты эксперимента в свойствах брандмауэра включил только доменный профиль, входящие - блокировать (по умолчанию), исходящие - разрешить (по умолчанию), из параметров IPSec - всё по умолчанию, метод проверки подлинности - Компьютер Kerberos V5, авторизация туннеля - отсутствует.

В первую очередь отключил все встроенные правила что касается порта 3389, чтоб не мешали эксперименту, создал входящее правило для порта TCP 3389 и вроде всё хорошо, ставлю в правиле "Разрешить подключение" - соединение проходит, ставлю "Блокировать подключение" - соединение не проходит. А вот ставлю "Разрешить только безопасное подключение" (в настройке сего стоит "Разрешить подключения, если оно прошло проверку подлинности и целостности"), добавляю в закладке "Компьютеры" галочку "Разрешить подключение только следующих компьютеров" и туда учётную запись компьютера AD с которого коннекчусь, но в результате "полный болт". Такая же песня с авторизацией по учётной записи пользователя AD, шо за ...?

В параметрах IPSec пробовал менять метод проверки на Пользователь Kerberos V5, Компьютер + пользователь и Компьютер NTLMv2, но безрезультатно. Вычитал, что для режима "Разрешить только безопасное подключение" нужно создать правило безопасности подключения, создал, режим проверки подлинности "Требовать входящие и запрашивать исходящие, метод - Компьютер Kerberos V5, также как в свойствах IPSec. Не подключается один чёрт! Причём если правило безопасности активно, то не подключается даже если в правиле для входящих соединений поставить "Разрешить подключение", приоритет однако!
Друзья мои, кто-нибудь разрешал виндовым брандмауэром подключение по порту для конкретных юзеров AD? Помогите!

Да я уже так и понял, что такой самолёт не полетит, понаделают красивых интерфейсов: вот тебе закладка компьютер, вот тебе юзер AD, простота и комфорт, тока щастья нэт. Уже вспомнил ИСУ, там тоже такая же хрень была, всё красиво, добавляешь порт, юзера, нэ работает! Но там хотя бы можно было ISA Agent-а юзеру засандолить, тогда с помощью него авторизация проходила.

Попробую заморочиться с IPSec-ом. Мне, в принципе, на комп нормально будет.