[exo]

Цитата okamen:

Вопрос: как обойти с помощью политик безопасности домена такую возможность? »

какую возможность ? чтобы с недоменного компа нельзя было вводить реквезиты? просто заблокируйте учётку в AD, которую используют при входе с недоменного компьютера.

[okamen]

Не то. Чтобы юзеры с недоменных компов не могли пользоваться ресурсами домена. Например Exchange, SQL, файловые шары и т.д.
Иначе получается: когда пользователь пытается получить доступ к какой-нибудь машине, ему вылетает окно с запросом имени и пароля. После того, как пользователь получил доступ к машинке, он может пользоваться ресурсами машинки (в данном случае шары).

Прим: в сети стоит DHCP, который выдает настройки IP и DNS серверов. При подключении любого компа или ноута, комп получает IP. Далее можно вбивать имя любой машинки, и авторизовавшись на ней, скачать на ноут всю инфу с файлового сервака, или любой другой машинки домена.

Учетку блокировать нельзя.

[Grub]

Делайте ДМЗ. И блокируйте из этой зоны доступ к тем ресурсам к которым они не должны получать доступ(какая то тавтология)... Можно это все сделать используя ISA Server.

[artem_]

Еще отключаете Гостя.
Доступ к ресурсам делаете на основе групп пользователей а не Domain users или что хуже для Всех пользователей.

А для мега секюрности можно использовать сетевое оборудование с портовой аутентификацией 802.1Х тогда доступ к физической сети можно вообще сделать на основе сертификатов. И не забываем про DMZ.

[exo]

Цитата okamen:

Учетку блокировать нельзя »

а кто пароли разглашает?

Цитата okamen:

Чтобы юзеры с недоменных компов не могли пользоваться ресурсами домена »

они не могут пользоваться ресурсами домена, пока не введут логин и пароль доменной учётной записи.
И если они авторизуются на сервер - значит кто-то им передаёт эти даные.
хотя может быть вариант - это один и тотже человек, с двумя компьютерами - в домене и не в домене.

Цитата artem_:

Доступ к ресурсам делаете на основе групп пользователей а не Domain users или что хуже для Всех пользователей »

Если убрать "Все" - то нектороые системные учётки не смогут в нужный момент получить доступ к шаре.
А вот права NTFS действительно лучше раздавать с помощью спец групп.

[monkkey]

Господа, вы, похоже, немного не поняли сути вопроса. Придет человек с ноутом, введет СВОИ логин и пароль и, получив доступ, скачает нужные данные.
Решение - резервирование по МАС-адресам в DHCP, ИМХО.

[okamen]

Вариант, но сетка в 200 машин - это звучит как издевательство надо мной

На самом деле есть технология: наложить политики IPSec.
кому интересно: http://www.windowsfaq.ru/content/view/661/90/

Проблема в том, что сетка реально тупить начинает. Есть второй вариант, только разобраться не могу.
В политиках на Organization Unit: Computer Configuration\Windows Settnigs\Security Settings\Local Policies\Security Options\
Есть политики
Domain Member:....
Microsoft Network Client:....
Microsoft Network Server:....
Network Access:...
Хотелось бы найти описание для этих политик, а то ни русский ни английский переводы не дают точной картин

Есть еще вариант. В Домене имеется Enterprise Root Certification Authority. Можно распространять сертификаты по компам в домене, и скриптом проверять их наличие, но это тоже не вариант. Сертификат можно снять, и переместить в другое хранилище на недоменный ноут.

прим: в домене машинки только XP и Висты.

[exo]

Цитата monkkey:

введет СВОИ логин и пароль »

вы имееет ввиду доменные реквизиты?

Цитата monkkey:

Придет человек с ноутом, »

решение - согласовывать с IT отделом подключение техники не находящееся на учёте в IT отделе.
А за подключение без согласования - штраф.
По МАС адресам - 200 компов ? имхо, проще DHCP откелючить и раздать статикой.

okamen, а почему у вас не все компьютеры в домене ?

и только что пришло самое простое решение: давать доступ не по пользователям, а по компьютерам.

читать дальше »

можете по отдельности, а можете создать группы из компьютеров.

[okamen]

реквизиты доменные

У нас в кампании полная демократия. Хочешь комп в домен - пожалуйста, хочешь из домена - да ради бога. Кароче юзерам можно все. У них у всех админские права на машинах. (Есть программеры, которые ваяют проги в Visual Studio Team Foundation Server - им полюбой права нужны). Есть челы приезжающие из разных городов. У них висят учетки в домене и по ВПН подключаются даже с канады Кароче проблему нужно и можно решить программными способами

Я вот думал может radius поставить?

прим: Моя задача, предоставлять конечные сервисы пользователям, а не следить за кол-вом компов в сети и кто куда пересел. А наводить порядки с проводами и продавливать бумажки через начальство - это криво, и неоправданно для бизнеса. Кроме того локальная сеть используется для тестирования и разработки программно-аппаратных комплексов пром. характера. Кроме того, может просто юзер вайфай врубить и в инете посидеть полчасика - вариантов много, проблема не в этом.