2008 R2 - Доступ к ресурсам только с доменных машин

Denis Dyagilev · Отправлено: **19:02, 25-04-2011** | #2

Навскидку два варианта - NAP и IPSec.

Sysxp · Отправлено: **19:21, 25-04-2011** | #3

Очень громоздко, и то и то...
В том смысле, что это надо ВНЕДРЯТЬ, NAP это вообще "вешалка", IPSEC не лучше.
Как из пушки по воробьям получается.

Задача-то вроде бы простая. По крайней мере, просто звучит.

И решение тоже хочется простое, понятное... Городить IPSEC совсем не хочется.

Чёрт с ними, с первыми двумя пунктами.

Как отказать в сетевом входе с не-доменных машин?

zero55 · Отправлено: **23:09, 25-04-2011** | #4

Роль DHCP в Win 2008 R2 позволяет выполнять фильтрацию по MAC адресам или маскам.
Но это неполноценное решение т.к. ничто не помешает поставить адрес руками.

Денис прав, решением будет Nap + IPSec

Diesel315 · Отправлено: **08:49, 26-04-2011** | #5

Цитата Sysxp:

т.е. если с левого ноута пытаться соединиться с \\SERVER1 - он спросит пароль, пользователь вводит его, и отлично всё копирует - А должно быть - вылазит запрос на пароль, пароль вводится (правильный), пользователь посылается нах (потому что эта машина не включена в домен) с записью в лог на контроллере домена »

А если разрешения на общий ресурс по NTFS не по пользователям, а по по полным доменным именам компов (FQDN)

zero55 · Отправлено: **09:30, 26-04-2011** | #6

Цитата Diesel315:

а по по полным доменным именам компов (FQDN) »

доступ под пользователем идет в пользовательском контексте.
Организовать таким образом двухфакторную проверку не получится.

PS еще один выход - требовать от пользователя при логоне смарт-карту.