Задачка !
Есть локальная сеть на домене. В домене поднят терминальный сервер. На одном из компьютеров домена (допустим) пользователь устанавливает беспроводное устройство связи и через него выходит в Инет. Открывает удаленный доступ к своему компьютеру. Некто зная его IP,login,pwd,domain открывает RDC на его компьютере. Далее некто (зная , что необходимо) открывает терминальную сессию на терминальном сервере со всеми вытекающими отсюда последствиями. Формально мы имеем "вложенный" удаленный доступ к терминальному серверу.
Вопрос ! Есть ли какие-нибудь средства со стороны терминального сервера , чтобы запретить доступ к нему через "вторые руки" ?
Спасибо !

Sergey Orlov lvv1961Задачка !
Есть локальная сеть на домене. В домене поднят терминальный сервер. На одном из компьютеров домена (допустим) пользователь устанавливает беспроводное устройство связи и через него выходит в Инет. Открывает удаленный доступ к своему компьютеру. Некто зная его IP,login,pwd,domain открывает RDC на его компьютере. Далее некто (зная , что необходимо) открывает терминальную сессию на терминальном сервере со всеми вытекающими отсюда последствиями. Формально мы имеем "вложенный" удаленный доступ к терминальному серверу.
Вопрос ! Есть ли какие-нибудь средства со стороны терминального сервера , чтобы запретить доступ к нему через "вторые руки" ?
Спасибо !
1. А как терминалка узнает, что через2-е руки?
2. Если пользователь может установить на компьютере домена беспроводное устройство, значит он является его администратором данной станции со всеми вытекающими последствиями, надо просто откусить ему права на это...

Это все правильно !
Но ситуация сложнее ! На самом деле есть терминалка , к которой имеют доступ клиенты через Инет-туннели (свой софт), в котором работает RDP . Эти туннели соединяют терминалку с конкретными офисами (доступ из Инета невозможен). Эти офисы NT-администрированию с нашей строны не подлежат. В офисах есть компьютеры , которые имеют право работать через туннель. Начальство требует , чтобы клиенты работали с терминалом только со своих рабочих мест(зарегистрированных компьютеров) , т.е. через "первые руки". Если же клиент в этих офисах произведет манипуляции , описанные выше , то необходимо доступ запретить.
Так есть ли средства со стороны терминального сервера определить, кто открывает терминальную сессию - реальный компьютер("первые руки") или "сессия удаленного доступа" с этого компьютера ("вторые руки") ?

Спасибо ! За советы !
Уточню кое-что ! Сами Инет-туннели как раз и реализованы с собственными ключами шифрования , вплоть до hardware !
Особенность в том , что клиент , который входит на терминал через "вложенный удаленный доступ" - не преступник , а законный пользователь терминального сервера, но не дисциплинированный, если так можно сказать - хочу работаю из офиса, хочу из дома ! И даже если заставить после аутенфикации терминальной сессии запросить информацию с локального ресурса - он ее предоставит, так как компьтер в офисе тоже его ! Вот если в аутенфикацию входили бы MAP-адреса железа ... Хотя тоже не катит ! Я наблюдал эту ситуацию со стороны терминала - виден только офисный комп.
Вот ДЫРА ! так ДЫРА !

AndroN-RUS
Если юзер то да но он говарит что он Админ и комп через каторый он выходит насколько я понял он его и естественно он на сваем компе может делать что хочет и как хочет и хоть в каких позах
Абсолютно верно !