Parece que o isolamento de domínio pode ser usado para realizar isso, mas eu gostaria de uma solução que não exija IPsec ou, mais precisamente, que não exija IPsec no servidor de arquivos. O IPsec, se feito em software, tem uma grande sobrecarga de CPU e nossas caixas NAS não suportam nenhum tipo de descarregamento.
O objetivo é evitar que usuários autenticados utilizem máquinas não gerenciadas para acessar recursos de rede. A Proteção de Acesso à Rede (NAP) e os vários pontos de aplicação pareciam promissores, mas não consegui encontrar uma maneira à prova de balas de usá-los [que não requer IPsec no servidor de arquivos].
Eu estava pensando que quando um usuário de domínio acessa a caixa NAS, ele primeiro precisará de um tíquete Kerberos do AD, então se o AD pudesse de alguma forma verificar se o computador que estava solicitando o tíquete estava no domínio, eu teria uma solução.
Responder1
Sim. Use ipSec. Os domínios são projetados exatamente dessa maneira.
Além disso, a sobrecarga não será tão alta se você não usar IpSec para criptografar o tráfego, apenas para validar a identidade do endpoint.