Parece que se puede utilizar el aislamiento de dominio para lograrlo, pero me gustaría una solución que no requiera IPsec o, más exactamente, que no requiera IPsec en el servidor de archivos. IPsec, si se realiza mediante software, tiene una gran sobrecarga de CPU y nuestras cajas NAS no admiten ningún tipo de descarga.
El objetivo es evitar que los usuarios autenticados utilicen máquinas no administradas para acceder a los recursos de la red. La Protección de acceso a la red (NAP) y los diversos puntos de cumplimiento parecían prometedores, pero no pude encontrar una manera segura de usarlos [que no requiere IPsec en el servidor de archivos].
Estaba pensando que cuando un usuario de dominio accede a la caja NAS, primero necesitará un ticket Kerberos de AD, por lo que si AD pudiera de alguna manera verificar que la computadora que estaba solicitando el ticket estaba en el dominio, tendría una solución.
Respuesta1
Sí. Utilice ipSec. Los dominios están diseñados exactamente de esa manera.
Además, la sobrecarga no es tan alta si no utiliza IpSec para CIFRAR el tráfico, solo para validar la identidad del punto final.