我的客戶有一個電腦實驗室,其中有幾台 Windows 10 PC 透過乙太網路連接到公司的活動目錄網域。公司的每個人都有自己的登入憑證。
我想限制人們使用有效憑證從未加入的(個人)裝置(例如筆記型電腦)存取網域資源。歡迎他們使用乙太網路連接到網路和互聯網,但不要連接到 AD 網域。
答案1
IPSEC 應該是最好的解決方案。
將您的網域伺服器配置為“需要對入站和出站連線進行身份驗證(IPSEC) 在連接埠 445 上(透過 GPO 執行此操作)。
在客戶端(加入網域)電腦上,所有電腦(所有需要存取這些資源的電腦),設定相應的 IPSEC 規則(再次透過 GPO),聲明“”請求入站和出站連線的身份驗證」
用戶端不應要求對入站連線進行身份驗證 - 它們只需能夠啟動安全的出站連線(需要入站身份驗證的伺服器將使用 IPsec 進行回應,而所有其他主機將照常回覆)
此設定將強制初始化連線的裝置對自身進行身份驗證,並且透過這樣做,將禁止從未加入網域的裝置存取網域資源。其他一切都會像往常一樣運作,正常的共用/NTFS 權限仍將以與沒有IPSEC 規則時相同的方式應用,因此您可以將IPSEC 規則設定為使用“網域電腦”和“網域使用者”,而不會出現重大問題。
這裡有一些相當不錯的這個怎麼做。不過,您必須根據您的情況進行調整。