Уважаемые форумчане ! ! ! помогите советом ...
есть терминальная машина ... которая имеет адрес 192.168.12.200 ... внутри домена пользователи подключается к ней и работают (каждый под своей учеткой) ... есть так же возможность подключаться к данному терминалу извне ... суть вопроса в том, как пользователю с ip 192.168.12.113 оставить доступ работы на терминале в домене (тоесть сидя на рабочем месте), но запретить ему подключаться к терминалу из дома например ?

Заранее благодарен за помощь !

Я так понимаю что из дома он подключается по внешнему ип провайдера, с которого порты проброшены на роутере до терминального сервера.Если при подключении к терминальному серверу не поднимается впн, то один единственный выход - прописать правила на роутере где проброшены порты по диапазону адресов или по мак-адресам подключающихся. Для доменного сервера после того как трафик прошел с внешнего ип через роутер и проброшенный порт(а там, я так понимаю NAT) трафик уже считается трафиком локальной сети...скорее всего так.

Сами мы люди не местные, но есть совет!
Сделайте огрничение по мак адресу или по имени пользователя.
2XSecureRDP.exe - вам в этом поможет - http://www.2x.com/securerdp/
2X SecureRDP for Windows Terminal Services увеличивает уровень безопасности удаленных серверов, принимая или отклоняя входящие RDP подключения по
1) IP,
2) Mac адресу,
3) имени компьютера,
4) версии клиента
5) на основе времени дня и т.д.

Таким образом, экран регистрации будет отображен, только если будет установлено соединение с конкретным IP или от компьютера. Компьютеры, которые не проходят ограничения фильтра, не могут видеть экран регистрации и не имеют даже возможности войти в систему путём подбора пароля.

2X SecureRDP for Windows Terminal Services работает с Windows 2003 Terminal Services и не требует компонентов клиента. Также поддерживаются серверы, работающие в режиме Remote Administration или Application Server.

:) Все решаемо!

1) доступ из вне ограничить средствами файервола - разрешение только определнных айпи
2) если же файервол ником обоазом не настроен - откуда юзверь знает параметры подключения к серверу :) пробрось нестандартный порт на 3389 да и все

Zebedee - юниксовая программка, есть виндоус версия. Создает шифрованный туннель между 2 машинами. Инсталишь ее на сервере как сервис, настраиваешь порт и включаешь вход по ключу. На роутере пробрасываешь порт зибиди, порт рдп не надо. Изнутри сети клиент подключается стандартными методами, снаружи только через клиентский комплект зибиди с индивидуальным ключом шифрования. Ключи на сервере добавляются динамически, ничего перезапускать не надо, при стирании ключа клиента сразу выкидывает.

gobhack, vertuhay2011 Вот это похоже вкусные решения, опробуем, спасибо