[WindowsNT]

Я не вижу, как можно выполнить поставленную задачу. Меняйте постановку задачи.

[exo]

я вообще не понял ситуации.
- есть домен
- есть компьютеры в домене и пользователи в домене
- есть ноутбуки не в домене и пользователи не в домене

вы хотите дать доступ пользователям ноутбуков к ресурсам в домене? или что?
Ибо фраза:

Цитата gofur:

Требуется разрешить доступ с недоменных компов (ноутов) к этим общим папкам, но ограничить его "только для чтения". Т.е. доступ должен даваться не по доменному имени пользователя, а по связке "имя пользователя + принадлежность компа к домену". »

если ноут не в домене, то какая тут принадлежность...
или вы хотите запретить вход доменных пользователей с недоменных компьютеров?

[Iska]

Цитата exo:

или вы хотите запретить вход доменных пользователей с недоменных компьютеров? »

А как они зарегистрируются на машине, не принадлежащей домену, под доменной учётной записью? Разве это возможно?

[gofur]

Цитата WindowsNT:

Я не вижу, как можно выполнить поставленную задачу. Меняйте постановку задачи. »

поясните, пожалуйста. может сторонние приложения (фаерволы)?

exo, не совсем.
Пользователь недоменного ноутбука может получить доступ к расшаренному ресурсу зная свои доменное имя и пароль.
Грубо говоря, включает человек свой домашний ноут, коннектится к сети (wi-fi), нажимает win+r, вводит, скажем, \\fileserver\vasya_pupkin_folder, затем указывает при подключении свои доменные имя и пароль и получает полный доступ к этой своей папке. А требуется, чтобы в данном случае он получил доступ "read only", поскольку вошел с машины, не входящей в домен.

Поясню, для чего это надо.
Сеть принадлежит учебному заведению, пользователями являются студенты, и очень часто им надо забирать домой свои незавершённые проекты для доработки. А вот приносить они ничего не должны.

[Angry Demon]

gofur, ваша задача неосуществима с такими условиями.

[gofur]

Angry Demon, а что можно подкорректировать в условии, чтобы осуществить задачу?

[exo]

Цитата Iska:

А как они зарегистрируются на машине, не принадлежащей домену, под доменной учётной записью? Разве это возможно? »

я имел виду, что работают на ноутах с локальными у.з. а на сервер доступ через сеть. Ну и сервер будет спрашивать доменные данные.

gofur, есть один вариант, но это пока в теории. на практике первую часть не делал.
1) как-то закрываем доступ к серверу с недоменных компов:
а - Например, если в NPS указать вроде "недоменные компы не имеют доступа к серверу по протоколу SMB". Но я не знаю, можно ли там такое сделать. А может это даже глупость.
б - в DHCP назначить резерв с МАС адресами для ноутов. На сервере в фаерволе блокировать данные адреса по порту SMB протокола 445. Но пользователи смогут менять IP на ноутах.
в - купить роутер с WiFi, настроить в режиме NAT. Использовать только для ноутов. В фаерволе сервера блокировать 445 порт с внешнего адреса роутера. Но если пользователи провода от компов перетыкают, не поможет.

2) устанавливаем на сервер IIS, и публикуем личные папки в веб. И доступ на чтение у них будет. IIS только настроить нужно будет правильно.

ну вообщем, какая-то такая идея. Ну или если деньги позволяют, может в Share Point есть нужный функционал.

[Iska]

Цитата exo:

я имел виду, что работают на ноутах с локальными у.з. а на сервер доступ через сеть. Ну и сервер будет спрашивать доменные данные. »

exo, ясно, разобрались.

[WindowsNT]

То, что вы хотите, является четвёртым методом аутентификации "где ты". Windows Shares такой метод аутентификации не поддерживают, поэтому и говорю, что задача решения не имеет. Сторонние приложения, думаю, тоже не помогут.