У моего клиента есть компьютерный класс, в котором установлено несколько ПК с Windows 10, подключенных через Ethernet к домену Active Directory компании. У каждого сотрудника компании есть собственные учетные данные для входа в систему.
Я хочу ограничить людей от использования их действительных учетных данных для доступа к ресурсам домена с их не присоединенных (личных) устройств (например, ноутбуков). Они могут использовать ethernet для подключения к сети и интернету, но не для подключения к домену AD.
решение1
IPSEC должен быть лучшим решением.
Настройте свой сервер домена на "Требовать аутентификацию для входящих и исходящих соединений" (IPSEC) на порту 445 (это делается через GPO). Укажите пользовательские первый и второй методы аутентификации как КОМПЬЮТЕР и ПОЛЬЗОВАТЕЛЬ, а также используйте "Компьютеры домена" в качестве группы аутентификации компьютеров.
На всех КЛИЕНТСКИХ (присоединенных к домену) машинах (всех, кому нужен доступ к этим ресурсам) задайте соответствующее правило IPSEC (снова через GPO), указав ""Запрос аутентификации для входящих и исходящих соединений"
Клиенты не должны требовать аутентификации входящих подключений — они просто должны иметь возможность инициировать безопасные исходящие подключения (серверы, требующие входящую аутентификацию, будут отвечать с помощью IPsec, в то время как все остальные хосты будут отвечать как обычно).
Эта настройка заставит устройство, с которого инициализируется соединение, пройти аутентификацию, и, таким образом, доступ к ресурсам домена с устройств, не присоединенных к домену, будет запрещен. Все остальное будет работать как обычно, обычные разрешения Share/NTFS будут применяться так же, как и без правила IPSEC, поэтому вы можете настроить правило IPSEC на использование «Domain Computers» и «Domain Users» без серьезных проблем.
Вот некоторые достаточно хорошиекак это сделать. Хотя, вам придется подстроить его под свой случай.