我正在尝试构建一个系统,其中对 Windows Server 中某些资源(文件共享)的访问不仅受用户名(在 Active Directory 域中)的限制,还受客户端计算机的限制。到目前为止,我还没有找到一个好方法来做到这一点;将计算机帐户添加到 DACL 显然不是这样做的方法。
Windows Server 2012 通过动态访问控制支持此功能,但此方法似乎要求所有客户端都是 Windows 8,而无法与 Windows 7 客户端一起使用。
有没有支持的方法来做到这一点?(或者,添加对 Windows 7 设备授权的支持)。
答案1
在动态访问控制 (DAC) 之前,没有内置功能可以专门执行您想要的操作。您能得到的最好的方法是专用一个文件服务器并使用某种类型的防火墙功能将该服务器的访问权限限制为“授权”的机器(即使这样,您实际上也依赖于具有正确网络地址的机器)。
我认为另一种仍然是网络层的方法是配置一个专用的文件服务器,仅通过 IPSEC 进行访问,并使用部署到“授权”机器的计算机证书来加密 IPSEC 通信。
微软的答案是 DAC。鉴于此,除了 DAC 之外,你不会找到非常干净的解决方案。