Кажется, можно использовать изоляцию домена, но мне бы хотелось решение, которое не требует IPsec, или, точнее, не требует IPsec на файловом сервере. IPsec, если реализован программно, имеет большую нагрузку на процессор, а наши NAS-боксы не поддерживают никакой разгрузки.
Цель состоит в том, чтобы избежать использования аутентифицированными пользователями неуправляемых машин для доступа к сетевым ресурсам. Защита сетевого доступа (NAP) и различные точки принуждения выглядели многообещающе, но я не смог найти надежного способа их использования [который не требует IPsec на файловом сервере].
Я думал, что когда пользователь домена получает доступ к NAS-устройству, ему сначала потребуется билет Kerberos из AD, поэтому, если бы AD мог каким-то образом проверить, находится ли компьютер, запрашивающий билет, в домене, у меня было бы решение.
решение1
Да. Используйте ipSec. Домены именно так и задуманы.
Кроме того, накладные расходы не так уж и велики, если вы не используете IPsec для ШИФРОВАНИЯ трафика, а используете его только для проверки подлинности конечной точки.