Mi cliente tiene un laboratorio de computación con varias PC con Windows 10 conectadas a través de Ethernet al dominio del directorio activo de la empresa. Cada individuo de la empresa tiene sus propias credenciales para iniciar sesión.
Quiero impedir que las personas utilicen sus credenciales válidas para acceder a los recursos del dominio desde sus dispositivos (personales) no unidos (por ejemplo, computadoras portátiles). Pueden usar Ethernet para conectarse a la red e Internet, pero no para conectarse al dominio AD.
Respuesta1
IPSEC debería ser la mejor solución.
Configure su servidor de dominio en "Requerir autenticación para conexiones entrantes y salientes" (IPSEC) en el puerto 445 (lo hace a través del GPO). Especifique el primer y segundo método de autenticación personalizados como COMPUTADORA y USUARIO, y use "Equipadoras de dominio" como grupo de autenticación de computadoras.
En las máquinas CLIENTE (unidas al dominio), todas ellas (todas aquellas que necesitan acceder a esos recursos), establecen una regla IPSEC correspondiente (nuevamente a través de GPO) que indica ""Solicitar autenticación para conexiones entrantes y salientes"
Los clientes no deberían exigir la autenticación de las conexiones entrantes; solo deben poder iniciar conexiones salientes seguras (los servidores que requieren autenticación entrante responderán con IPsec mientras que todos los demás hosts responderán como de costumbre).
Esta configuración obligará al dispositivo desde el que se inicializa la conexión a autenticarse y, al hacerlo, se prohibirá el acceso a los recursos del dominio desde dispositivos que no estén unidos al dominio. Todo lo demás funcionará, como de costumbre, los permisos normales de Compartir/NTFS se seguirán aplicando de la misma manera que lo hacían sin la regla IPSEC, por lo que puede configurar la regla IPSEC para usar "Computadoras de dominio" y "Usuarios de dominio" sin mayores problemas.
Aquí hay algunos razonablemente buenos.como hacer esto. Aunque tendrás que modificarlo para tu caso.