[artem_]

Вам для начала нужно четко разобраться, что вы хотите защищать и от кого. А уж потом начинать думать как это сделать.
Не четко поставленная задача.

[okamen]

Задача поставлена крайне четко:

Запретить пользователям домена с недоменных компов пользоваться шарами на файл-сервере.

[exo]

Цитата okamen:

Я вот думал может radius поставить »

ну какой радиус сервер ??? у вас доменная сеть! управляйте ей.

Цитата okamen:

У них у всех админские права на машинах »

но я надеюсь у них адмиских прав на домен? удаляйте их из локадминов !

Цитата okamen:

Запретить пользователям домена с недоменных компов пользоваться шарами на файл-сервере »

вы мой рисунок видели?
назначаете права на шару: всем - чтение, computer_name$ - чтение, изменение - это даст доступ компьютеру на шару.
назначаете права NTFS: computer_name$ - изменение - это даст права на изменение содержимого только для этого компьютера.
т.к. у вас ДОМЕН - то выбора кроме доменных компов у вас не будет.

[okamen]

Радиус позволяет проводить проверку подлинности юзера - это не самое плохое решение на мой(и не только мой) взгляд.

Не переживайте, админских прав на домен нету. Нельзя юзеров удалить из лок админов.У меня 80 процентов юзеров знают как домен поставить или винду по крайней мере. Иначе мне придется жить в офисе, и ставить каждому асю, офис, архиватор....пускай сами ставят.....Если сами сломают винду....дак самим и переставлять. Я только приду и в домен загоню. Остальное - сами.

Майкрософт рекомендует ставить доступ на шары
Authenticated users - modify
NTFS
system, cretor owner - по умолчанию
администраторы - полный доступ
и группу пользователей из AD

аутентификация по компам - не лучшее решение.

[exo]

Цитата okamen:

Радиус позволяет проводить проверку подлинности юзера »

Active Directory по вашему этого не умеет?

Цитата okamen:

У меня 80 процентов юзеров знают »

узнают как обойти вашу зашиту.

Цитата okamen:

Я только приду и в домен загоню. Остальное - сами. »

вы можете им дать права на домен. они сами себя добавят в домен. сможете на работу только за зарплатой приходить...

Цитата okamen:

аутентификация по компам - не лучшее решение. »

и чем оно вас не устраивает?

Цитата okamen:

мне придется жить в офисе, и ставить каждому асю, офис, архиватор »

вы можете всё это уставить через GPO. и ПО само установится перед входом пользователя в систему.

Цитата okamen:

Майкрософт рекомендует ставить доступ на шары »

также он рекомендует разделять полномочия пользователей и администраторов.

[okamen]

ОФФТОП дак ОФФТОП

С точки зрения бизнеса - AD - это всего лишь инструмент. Скажите, сколько человек на 100 компов обычно сидит в ИТ отделе? Задумайтесь, им ведь всем зарплату платить
Много ли директоров предприятий может сказать про своего админа - этот человек зарабатывает деньги для кампании, а не только экономит?

Кроме того, у меня есть VOIP телефония на АТС avaya налоговых Архангельской области (в районе 10 штук)+все каналы передачи данных, + вся их почта, маршрутизирующее оборудование, потоки, антенны ...и т.д. Кроме того есть туева куча левых заказчиков по настройке практически любого оборудования вплоть до видеостен, оповещения, видеонаблюдения и всяких инфраструктурных штучек. За это платят реальные деньги. Поскольку я этим занимаюсь, у меня нету большого количества времени сидеть в офисе.
Кроме того админские права нужны людям чтобы работать. Как можно заниматься написанием и тестирование программного обеспечения без админских прав? - ответьте мне пожалуйста!!! А этим занимается 50% сотрудников.

Насчет взлома защиты - много ли умников может сломать PKI с 1024 битным ключем, который меняется каждые 5 минут. Вы можете? Я - нет

Аутентификация по компам - майкрософт на экзаменах спрашивает: решите задачу с минимальными административными затратами


Мне реально решение надо, а не припираться - так, не так. Если вы не в курсе про такие технологии, то я как узнаю, обязательно сообщу.

[Grub]

okamen, Вам же было предложено решение DMZ. Чем оно Вас не устраивает? Пусть все сидят в админах на своих компах и делают что хотят. Но если машина не в домене, значит доступа к шарам нет.

[exo]

Цитата okamen:

Скажите, сколько человек на 100 компов обычно сидит в ИТ отделе? »

1-2 администратора.

Цитата okamen:

Много ли директоров предприятий может сказать про своего админа - этот человек зарабатывает деньги для кампании, а не только экономит »

админ не должен зарабатывать деньги для предприятия (если само предприятие не IT). Админ - предоставляет возможность сотрудникам зарабатывать деньги.

Цитата okamen:

АТС avaya »

моя любовь... csi

Цитата okamen:

у меня нету большого количества времени сидеть в офисе »

вот для этого у вас и есть

Цитата okamen:

AD - это всего лишь инструмент »

Цитата okamen:

А этим занимается 50% сотрудников »

вот остальным 50 - можно их и убрать.

Цитата okamen:

Как можно заниматься написанием и тестирование программного обеспечения без админских прав »

здесь спорить не буду - это уже ваша специфика.

Цитата okamen:

Аутентификация по компам - майкрософт на экзаменах спрашивает: решите задачу с минимальными административными затратами Мне реально решение надо »

У вас уже всё готово: есть список компьютеров в глобальном каталоге, нужно всего лишь пройтись по шарам и раздать нужные права.
вы можете назначить права на компы лишь на первую дерикторию. а дальше оставить как есть, но при этом не забыть отключить перекрёстную проверку.

Цитата Grub:

Но если машина не в домене, значит доступа к шарам нет. »

если машина в дмз - то кроме своего дмз и инета она не увидет... а нужно всего лишь папки закрыть... мне кажется слишком серьёзный подход.
если машина в воркгруппе - тоже доступа нет, без реквизитов доменного пользователя.

вобщем, я своё мнение высказал - не устаривает, не нравится - буду рад узнать как вы решите данную задачу.

[Aleksey Potapov]

отвечу так же как и на technet - ipsec )

[okamen]

про ДМЗ - решение не лучшее, сервак висит на 2ГБит/сек - надо нехилое сетевое покупать чтобы такую скорость прокачать, + сам сервак нехилый. Учитывая что уже стоит HP DL360 G5 на SAS - это выйдут хорошие деньги (ISA St 2006 - стоит копейки, по сравнению с железом).

Хорошо. Допустим с шарами разобрались. Как в таком случае раздавать права на Exchange, Sharepoint, SQL, OCS2007, Virtual Machine Manager 2008 - там такое не прокатит. Еще есть сервера мониторинга телекоммуникационного оборудования. Я Это имел ввиду под большими административными затратами.

Предприятие занимается ИТ.

IPSec рулит, но тормоза по сетке.

кстати даже бухгалтерам нужны права админа для замены сертификатов в хранилищах на своих машинках
__________________
Definity S8500+Mera VOIP Gateway forever