https://www.computerperformance.co.u...olicy_home.htm
اليك الرابط التالي
يا جماعه عندي مشكله موقفه شغلي كله والله وهي عندي واحد داخل في الدومين بس عن طريق Ras server
وحطيت الاكونت بتاعه والكمبيوتر بتاع في OU بس عملت كل حاجه بقي علشان اطبق بوليسي عليييييييه ومش عارفه
حد يقولي بعد اذنكو ازاي اطبق بوليسي عليه ازاااي
https://www.computerperformance.co.u...olicy_home.htm
اليك الرابط التالي
ياريت تفصيل المشكله وتوضيح الاعدادات ؟؟؟؟؟؟؟؟؟؟؟؟
RAS server اعداداته ايه وشكل النتورك ايه ؟؟؟؟؟؟؟؟؟؟
وهل البروتوكول المستخدم PPTP ولا L2TP ؟؟؟؟؟؟؟؟؟؟؟
هل بيستخدم NAT ولا ٌroute ؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
هل فى RADIUS ولا لاء ؟؟؟؟؟؟؟؟؟؟؟؟
ببساطه الاول بس انا عندي ناس شغلها بقي مش في مكان محدد (بيشتغلو ب lap tops ) ويبقوا عايزين يدخلو الدومين علشان يكملوا شغلهم ويقدر يعملو access لل resource اللي موجوده داخل ال network بس طلب من صاحب الشغل اني اعمل عليهم بوليسي مثل مثلا اشيل ال help و my picture من ال start menu وكمان ان اشيل اي حاجه عندهم في الديسكتوب بس كده
البروتكول المستخدم هو l2tp ومفيش radius (انا مستمه windows authentication ) بس كده
well I think that you should use roaming profiles with those users , customize the users settings as you like then renaming ntuser.dat to ntuser.man
this user will have a "mandatory profile " and anychange he'l made won't be saved...
i hope it's helpful
sorry my keyboard doesn't have arabic stickersl
يا جماااااعه اللي عارف ازاي يقولي لو سمحتووو
علشان في تكمله بعد البوليسي بس لازم اعمل البوليسي الاول
شكرا مقدما وجزاكم الله خيرا
نعم ممكن ذلك بجعل اليوزر يضع علامة صح عند الدخول علي الويندوز في الخانة (Log in using Dial-up connection) في هذه الحالة يتم تطبيق البوليسي
المشكله مش فالبوليسي ببساطه كدا حضرتك فى راوتر بيفصل بين ال ras server وبين الانترنت بمعنى ان ال ras server مش اخد real ip وتكمن المشكله فى استخدام l2tp \ipsec اوضح لحضرتك ايه المشكله بالزبط
المشكله ان vpn client لما بيدخل على الشبكه الداخليه عندك بيعمل authenticate مع الروتر مش مع ras sever علشان كدا هتلاقى الكلينت اخد ip فنفس الرينج الموجود فيه الروتر
وبالتالى مش هيعرف ياخد البولسي بتاعته لانها موجوده على فولدر متشير باسم sysvol ومتشير على شبكه داخليه تانيه غير subnet الموجود فيه الدومين كنترولر فباالتالى مش هيشوفه وبالتالى مش هتطبق عليه البوليسي
كمان عشان نحل المشكله لازم نعرف متطلبات l2tp \ipsec وهى انه لازم يتم بين جهازين محددين علشان يعمل ما بينهم tunnel يعنى مش ينفع اعمل بين الكلينت وبين ras srver اى tunnel باستخدام l2tp \ip sec طالما بيفصل بينهم راوتر الا فى حاله ان يكون الراوتر دا بيدعم NAT-T(Network Address Translate Traversal ( والخاصيه دى هتخلى ال tunnel تعبر الراوتر وتفتح ipsec tunnel protocol بين client vpn وبين ras server ويبقى علينا اننا نعرف هل الراوتر بيدعم الخاصيه دى ولا لاء ودا عن طريق مراجعه site الخاص بالمنتج ومعرفه اذا كان بيدعم او لاء
الحل التانى
اننا نغير authentication type protocol الى pptp وبالتالى المشكله هتزول ويشتغل عادى
الحل التالت
اننا نشيل ال ras server ونعتمد على الراوتر فى عمليه vpn
الحل الرابع
اننا نعمل ايزا سيرفر بدل من ras server ونخليه ياخد real ip ويشتغل vpn ونخلى الراوتر مكان ال ras server ودا حل جميل لانه هيضيف additional security layer للشبكه الداخليه وهنقدر نستخدم application layer filtering ونستغلها فى اضافه حمايه اكبر للشبكه الداخليه
الحل الخامس (وهو حل للمشكله ولكن غير مفضل من الناحيه الامنيه)
وهو تغيير تعامل الروتر مع vpn بدلا من استخدام nat type نستخدم route type وفى هذه الحاله لما يطلب الكلينت عمل authentication الروتر يستخدم routing table ويوجه الداتا الى ال ras server
ايوووووووووووه فعلا هو كده والله . ال vpn client بياخد ip من ال range بتاع الروتر زي ماحضرتك قلت مش من ال range اللي انا حددته . طيب دلوقت انا كل اللي عيزاه هو ان ال vpn client ده عايزه اطبق عليه بوليسي بس كده تفضل بقي حضرتك اني طريقه وياريت توضحها بعد اذنك
في اتظاااااارك وبسرعه لوووو سمحت
بالنسبه للطريقه الافضل دا يرجع على حسب الشركه وامكانياتها
افضل شيء طبعا الاعتماد على الايزا سيرفر لانه هيدعم خصائص ومميزات كتير بالاضافه الى vpn ولكن يحتاج الى وقت لاعداده على حسب شكل النتورك فالشركه وحجمها
بعيدا عن التكلفه من الممكن تغيير اعدادات ال vpn عن طريق تغيير البروتوكول المستخدم بدلا من l2tp \ipsec نستخدم pptp هتلاقى المشكله اتحلت لان البرتوكول بيشتغل عادى مع nat ومفيش اى مشكله اينعم هو اقل سيكورتى من l2tp \ipsec لكن فوجود الدومين كنترول بيكون مناسب استخدام pptp
اما لو الراوتر الموجود فالشركه بيدعم NAT-T ممكن نعمل تفعيل للخاصيه دى والجهاز هيشتغل تمام والمشكله تتحل
ممكن نشيل ال ras خالص ونعتمد على الروتر فى عمليه vpn كلها حلول مناسبه لكن ايهما افضل دا يرجع لشكل النتورك وطبيعه امكانيات الشركه ومدى قدرتك على التغيير فى شكل النتورك كل الموجود حلول مناسبه
اسرع حل للمشكله هو تغيير نوع البرتوكول المستخدم من L2TP\ipsec الى PPTP
المفضلات