我的客户有一个计算机实验室,其中几台 Windows 10 PC 通过以太网连接到公司的活动目录域。公司中的每个人都有自己的登录凭据。
我想限制人们使用其有效凭据从未加入的(个人)设备(例如笔记本电脑)访问域资源。他们可以使用以太网连接到网络和互联网,但不能连接到 AD 域。
答案1
IPSEC 应该是最好的解决方案。
将您的域服务器配置为“要求对入站和出站连接进行身份验证“(IPSEC)在端口 445 上(您可以通过 GPO 执行此操作)。指定自定义第一和第二身份验证方法为 COMPUTER 和 USER,并使用“域计算机”作为计算机身份验证组。
在客户端(已加入域的)计算机上,所有计算机(所有需要访问这些资源的计算机)都设置相应的 IPSEC 规则(再次通过 GPO),声明“”请求对入站和出站连接进行身份验证“
客户端不应该要求对入站连接进行身份验证 - 它们只需能够启动安全的出站连接(需要入站身份验证的服务器将使用 IPsec 进行响应,而所有其他主机将照常回复)
此设置将强制初始化连接的设备进行身份验证,这样一来,将禁止未加入域的设备访问域资源。其他一切都将正常工作,正常情况下,正常的共享/NTFS 权限仍将以与没有 IPSEC 规则时相同的方式应用,因此您可以将 IPSEC 规则设置为使用“域计算机”和“域用户”,而不会出现重大问题。
以下是一些相当不错的这个怎么做。不过,您必须根据您的情况对其进行调整。