Dovolte věcnou reakci - pár námětů, "co teda s tím", pokud má tazatel čas a náladu googlit si buzzwordy a trochu se expresně dovzdělat:
Ještě k požadavku "aby ředitel viděl všude a ostatní jenom co mají dovoleno" (nechci pouze planě řečnicky slovíčkařit): Už tu jiní zmínili, že to nesouvisí ani tak s topologií sítě (dobrá, ať si tam ten firewall mezi ředitelnou a zbytkem LAN klidně použijí) jako spíš s uživatelskými právy v zúčastněných OS na serveru a klientech.
Takže bych navrhoval fileserver = Windows Server (nebo ekvivalent), nechť na tom běží doména (AD) kvůli správě privilegií, a dál tradiční schéma: řadové užovky dostanou neprivilegované účty a každý "home adresář" na serveru plus třeba nějaké další shary kam můžou všichni nebo podle tříd / oddělení / skupin, jenom "ředitel" bude mít administrátora (nebo obecně v AD nějaký účet který smí koukat všude).
Ale: koukat všude kde? No tradičně v rámci fileserveru. V tomto bodě "chci" vzít tazatele/zadavatele za slovo :-)
Když se zeptám: a co ty klientské stanice? Řekněme, že nejsou diskless. Že mají lokální disk. Třeba mají nějaký lokální prostor, kam užovky taky můžou hnojit - a kam by se říďa/admin chtěl na dálku z tepla své pracovny podívat. To by znamenalo, dát na ten lokální prostor na klientech taky práva dle schématu v AD (řadový user / superuser) a vystavit to jako share? Nikam jinam na lokále by užovky nesměly. Případně by říďa mohl na klientech *všude* skrz implicitní share C$ a svůj nadčlověčí účet v AD? Fungovalo tohle někdy? (Nebo je k tomu třeba lokální admin? (Funguje C$ ještě?))
Jinak samozřejmě admin může na klienty přes "vzdálenou pomoc" (= vzdálenou plochu RDP) - to funguje rutinně...
Za mě provozovat LAN traffic z klientů na fileserver skrz firewall... nebude ten FW úzkým hrdem? Jasně, záleží jaký FW... jsem konzerva, přijde mi to trochu přehnané :-) Jasně pokud se síť rozdělí více VLANami třeba mezi učebny / kabinety / ředitelnu, tak tam minimálně L3 router být musí. Ale pokud nejsou požadavky na vyšší firewallovou akrobacii, tak tam dát prostě trochu slušný "L3 switch", který má HW akcelerovaný L3 forwarding a třeba i základní access listy... bude to mít wire-speed průchodnost, dá se tím zaříznout nežádaný provoz mezi VLANami navzájem (na bázi least privilege) a díky doméně bude fungovat cross-subnet přístup k windowsím sharům... Základním filtrem co zvládne L3 switch se dá zabránit třeba háčkování sborovny a kabinetů z učeben = triviální "script kid" útoky, hádání hesel na ad-hoc shary na učitelských pracovních stanicích, přímé šíření malwaru apod.
Přemejšlím, co všechno by L3 switch se svým relativně hloupým filtrováním dokázal zaříznout mezi stanicemi uvnitř společné VLANy. Třeba navazování TCP relací, nebo paušálně veškerý lokání provoz s některými výjimkami? (arp, podmnožina ICMP) Akorát by se takto striktní bezpečností odstranila dost výrazná část vzdělávací hodnoty školní LAN ;-)
V rovině bezpečnosti třeba ještě přidat na dedicated stroj nějaký IDS který bude hlásit port-scany apod., pokud je šance, že bude někdo mít čas pošilhávat po jeho výstupu a řešit false positives...
Pro úplnost: samozřejmě nějaký košer firewall mezi celou tou "routovanou a filtrovanou LAN sítí" a vnějším světem = do divokého internetu. Ani by sám firewall nemusel vidět do jednotlivých VLAN - pokud má jako default route pro jednotlivé VLANy/subnety sloužit L3 switch. Ale třeba taky mohl (vytáhnout VLAN trunk z LAN switche do firewallu)... to je na zvážení správce/projektanta.
Je to lebeda, kolik se toho dá dneska uroutovat a ufiltrovat na 2.-5. vrstvě "relativně obyčejným switchem" :-)
EDIT: možná ještě
dva odkazy na obrázky k fyzické topologii. Text ignorujte, pokud je nad Vaše momentální schopnosti.