내 고객은 이더넷을 통해 회사의 Active Directory 도메인에 연결된 Windows 10 PC를 갖춘 여러 컴퓨터실을 보유하고 있습니다. 회사의 각 개인은 로그인에 필요한 고유한 자격 증명을 가지고 있습니다.
사람들이 유효한 자격 증명을 사용하여 가입되지 않은(개인) 장치(예: 노트북)에서 도메인 리소스에 액세스하는 것을 제한하고 싶습니다. 이더넷을 사용하여 네트워크와 인터넷에 연결할 수 있지만 AD 도메인에 연결할 수는 없습니다.
답변1
IPSEC는 최고의 솔루션이어야 합니다.
도메인 서버를 "인바운드 및 아웃바운드 연결에 대한 인증 필요포트 445의 "(IPSEC)(GPO를 통해 수행함). 사용자 정의 첫 번째 및 두 번째 인증 방법을 컴퓨터 및 사용자로 지정하고 "도메인 컴퓨터"를 컴퓨터 인증 그룹으로 사용합니다.
CLIENT(도메인 가입) 시스템에서 모든 시스템(해당 리소스에 액세스해야 하는 모든 시스템)은 ""라는 해당 IPSEC 규칙(다시 GPO를 통해)을 설정합니다.인바운드 및 아웃바운드 연결에 대한 인증 요청"
클라이언트는 인증을 위해 인바운드 연결을 요구해서는 안 됩니다. 단지 안전한 아웃바운드 연결을 시작할 수 있어야 합니다. 인바운드 인증이 필요한 서버는 IPsec로 응답하고 다른 모든 호스트는 평소대로 응답합니다.
이 설정은 연결이 초기화되는 장치가 스스로 인증하도록 강제하며, 이렇게 하면 도메인에 가입되지 않은 장치에서 도메인 리소스에 액세스하는 것이 금지됩니다. 다른 모든 것은 평소와 같이 작동하며 일반 공유/NTFS 권한은 IPSEC 규칙 없이 동일한 방식으로 계속 적용되므로 큰 문제 없이 "도메인 컴퓨터" 및 "도메인 사용자"를 사용하도록 IPSEC 규칙을 설정할 수 있습니다.
여기 합리적으로 좋은 것이 있습니다이것을하는 방법. 하지만 귀하의 경우에 맞게 조정해야 합니다.