Mein Kunde verfügt über ein Computerlabor mit mehreren Windows 10-PCs, die über Ethernet mit der Active Directory-Domäne des Unternehmens verbunden sind. Jeder Einzelne im Unternehmen verfügt über eigene Anmeldeinformationen.
Ich möchte verhindern, dass Benutzer mit ihren gültigen Anmeldeinformationen von ihren nicht verbundenen (persönlichen) Geräten (z. B. Laptops) auf Domänenressourcen zugreifen. Sie können Ethernet gerne verwenden, um eine Verbindung zum Netzwerk und zum Internet herzustellen, jedoch nicht, um eine Verbindung zur AD-Domäne herzustellen.
Antwort1
IPSEC sollte die beste Lösung sein.
Konfigurieren Sie Ihren Domänenserver auf „Authentifizierung für eingehende und ausgehende Verbindungen erforderlich" (IPSEC) auf Port 445 (dies geschieht über die Gruppenrichtlinie). Geben Sie die erste und zweite benutzerdefinierte Authentifizierungsmethode als COMPUTER und USER an und verwenden Sie „Domänencomputer“ als Computerauthentifizierungsgruppe.
Auf allen (mit der Domäne verbundenen) Client-Rechnern (alle, die auf diese Ressourcen zugreifen müssen) legen Sie eine entsprechende IPSEC-Regel fest (wiederum über GPO) mit der Angabe ""Fordern Sie eine Authentifizierung für eingehende und ausgehende Verbindungen an"
Clients sollten keine Authentifizierung eingehender Verbindungen erfordern – sie müssen lediglich in der Lage sein, sichere ausgehende Verbindungen zu initiieren (Server, die eine eingehende Authentifizierung erfordern, antworten mit IPsec, während alle anderen Hosts wie gewohnt antworten).
Diese Konfiguration zwingt das Gerät, von dem die Verbindung initialisiert wird, sich selbst zu authentifizieren. Dadurch wird der Zugriff auf Domänenressourcen von Geräten, die nicht zur Domäne gehören, unterbunden. Alles andere funktioniert wie gewohnt. Die normalen Share/NTFS-Berechtigungen gelten weiterhin in derselben Weise wie ohne die IPSEC-Regel. Sie können die IPSEC-Regel also ohne größere Probleme so einstellen, dass „Domänencomputer“ und „Domänenbenutzer“ verwendet werden.
Hier ist einige recht guteWie macht man das. Sie müssen es jedoch für Ihren Fall anpassen.