私のクライアントには、イーサネット経由で会社の Active Directory ドメインに接続された Windows 10 PC が数台あるコンピュータ ラボがあります。会社の各個人は、ログインするための独自の資格情報を持っています。
ユーザーが有効な資格情報を使用して、参加していない (個人用) デバイス (ラップトップなど) からドメイン リソースにアクセスすることを制限したいと考えています。イーサネットを使用してネットワークやインターネットに接続することはできますが、AD ドメインに接続することはできません。
答え1
IPSEC が最善の解決策となるはずです。
ドメインサーバーを「受信接続と送信接続に認証を要求するポート 445 で " (IPSEC) を使用します (これは GPO を通じて行います)。カスタムの 1 番目と 2 番目の認証方法を COMPUTER と USER として指定し、コンピューター認証グループとして "Domain Computers" を使用します。
クライアント(ドメインに参加している)マシンのすべて(それらのリソースにアクセスする必要があるすべてのマシン)で、対応する IPSEC ルール(これも GPO 経由)を設定します。受信および送信接続の認証を要求する「
クライアントは、着信接続の認証を要求すべきではありません。安全な発信接続を開始できるだけで十分です (着信認証を要求するサーバーは IPsec で応答し、他のすべてのホストは通常どおり応答します)。
この設定により、接続が初期化されるデバイスは強制的に認証され、これにより、ドメインに参加していないデバイスからのドメイン リソースへのアクセスが禁止されます。その他はすべて通常どおり機能し、通常の共有/NTFS アクセス許可は IPSEC ルールがない場合と同じように適用されるため、大きな問題なく「ドメイン コンピューター」と「ドメイン ユーザー」を使用するように IPSEC ルールを設定できます。
ここにかなり良いものがありますこれを行う方法ただし、あなたのケースに合わせて調整する必要があります。