问题陈述:如何在支持个人和企业资源的单一家庭网络上支持身份隔离?我知道 Windows NT 服务器有很多限制网络资源访问的方法,但我想在用户 ID 抽象级别区分个人用户和工作用户,而不仅仅是使用 ACL 来隔离资源。
我正在使用 Windows Small Business Server 2011 Standard
警告:如果有什么问题的话,我不需要远程访问网络(至少一年或更长时间),尽管如果我从我的 ISP 购买静态 IP 或者找出 OpenDNS 解决方案来进行远程访问,我可能想要启用日历和邮件的 Exchange 远程网络访问。
失败的模型:我的第一个想法是在一台物理服务器上创建两个域。了解域的工作原理后,这将满足我的要求。我将拥有两个身份:家庭\爸爸、工作\鲍勃,而我的妻子(Sally)和孩子则是工作\莎莉、家庭\比尔、家庭\苏。然后我们有一些个人(家庭)电脑、一些商务(工作)电脑和一些共享电脑(无论是域还是其他,但用于备份存储和音乐等双重用途共享数据)
这个想法被这篇文章否定了,我从中了解到需要单独的机器来控制每个域。 单个服务器上有多个域。但是,它向我介绍了 UPN,这可能是一个替代方案
显然我不想承担两个完全隔离的网络的成本。此外,共享备份服务器需要双宿主 NIC。唉。
理由/要求/目标:造成这种情况的原因如下:
1) 我的孩子不是雇员,所以我不想让他们的活动、电子邮件和其他资源与工作混在一起。这部分是为了心理上的方便,部分是为了财务上的方便(例如,美国国税局关于混合用途公司资产的规定)
2) 它可以帮助我避免在公司资源中被意外识别为“爸爸”,并且不会在个人通信中泄露公司 ID。(真实故事:几年前,我在通过 RAS 签入的 Microsoft 资源上发现了我的用户 ID“爸爸”。我的同事和我为此大笑,“爸爸昨晚启动了一个构建!”)
3) 如果您认为我太吝啬,不愿意通过中介共享资源支付一些云服务解决方案,那么答案是肯定的。我有所有这些硬件,要么发送给回收商,要么连接到电线上并在它们所在的地方重复使用,所以我认为我可以学习一些网络技能,同时节省金钱和保护环境。
4) 附加奖励(以防它影响我的实施细节):我买了一台非常强大的服务器,所以我可能想将旧硬件用作瘦客户端,并在服务器或其他机器上使用虚拟机进行实际用户计算和实验。这个变量应该是没有意义的,因为我预计虚拟机只是网络上的其他机器。
开放式问题: 这是我所能想到的问题。我很好奇还有什么我不知道的,这会让事情变得更简单还是更困难。
- 问题 1
用户主体名称是否适用于此?如果可以,我可以从登录屏幕“隐藏”到域,这样人们就不会对选择感到困惑?我猜凭证应该是[电子邮件保护],[电子邮件保护],[电子邮件保护],[电子邮件保护],[电子邮件保护]
- 问题 2
UPN 域(work.com、home.com)必须是真实域吗?看来 Windows 不会超出我的网络范围来验证任何人,但我也不知道如何在我的计算机上创建 work.com 和 home.com。也许这无关紧要?也许我遗漏了一些实施细节?
- 问题 3
访客将如何在家用机器上使用我的网络?我以前有爷爷奶奶的登录名。我能否只设置爷爷奶奶使用他们的真实电子邮件,以便他们在访问时无缝使用网络?(例如[电子邮件保护],[电子邮件保护]) 我希望这能起作用,因为这意味着我可以使用公司簿记员自己的公司电子邮件 ID 授予她访问我的业务资源的权限。
- 问题 4
看来 UPN 不会帮助将机器加入域并隔离它们。如果为 false,我该如何使用 UPN 来实现这一点?如果为 true,也许没关系。我想我看到了一些可以控制谁有权访问特定机器的东西。如果是这样,我想我只需创建一个网络组 BusinessUsers 和 HomeUsers 并授予相应组对适用机器的访问权限,对吗?
答案1
如何在支持个人和商业资源的单一家庭网络上支持身份隔离?
你不需要。森林是安全边界。同一森林中的事物不应该像你试图做的那样被隔离。你需要两个森林,这意味着你需要两个独立的服务器(至少)。