Доступ к ресурсам только с доменных машин
 

Добрый день!

Есть домен.
В нём есть рядовой сервер вида \\SERVER1 на котором есть общие ресурсы (шары)
В домене есть пользователи вида DOMAIN\UserName

Пользователи работают со своих машин и всё чудесно.

Предположим, пользователь приносит свой ноутбук, и суёт его вместо своего рабочего компьютера в сеть.

1. Можно ли сделать чтобы DHCP выдавал адреса только доменным машинам?
2. Можно ли сделать чтобы DNS отвечал только доменным машинам, если настройки сети указаны вручную?
- и самое главное-
3. Можно ли сделать чтобы доступ к ресурсам имели пользователи только если они коннектятся с доменных машин?
т.е. если с левого ноута пытаться соединиться с \\SERVER1 - он спросит пароль, пользователь вводит его, и отлично всё копирует - А должно быть - вылазит запрос на пароль, пароль вводится (правильный), пользователь посылается нах (потому что эта машина не включена в домен) с записью в лог на контроллере домена.
Или сразу посылается нах.

Навскидку два варианта - NAP и IPSec.

Очень громоздко, и то и то...
В том смысле, что это надо ВНЕДРЯТЬ, NAP это вообще "вешалка", IPSEC не лучше.
Как из пушки по воробьям получается.

Задача-то вроде бы простая. По крайней мере, просто звучит. :)
И решение тоже хочется простое, понятное... Городить IPSEC совсем не хочется.

Чёрт с ними, с первыми двумя пунктами.

Как отказать в сетевом входе с не-доменных машин?

Роль DHCP в Win 2008 R2 позволяет выполнять фильтрацию по MAC адресам или маскам.
Но это неполноценное решение т.к. ничто не помешает поставить адрес руками.

Денис прав, решением будет Nap + IPSec

А если разрешения на общий ресурс по NTFS не по пользователям, а по по полным доменным именам компов (FQDN)

доступ под пользователем идет в пользовательском контексте.
Организовать таким образом двухфакторную проверку не получится.

PS еще один выход - требовать от пользователя при логоне смарт-карту.