在一台机器上模拟两个域以支持工作/家庭隔离

问题陈述：如何在支持个人和企业资源的单一家庭网络上支持身份隔离？我知道 Windows NT 服务器有很多限制网络资源访问的方法，但我想在用户 ID 抽象级别区分个人用户和工作用户，而不仅仅是使用 ACL 来隔离资源。

我正在使用 Windows Small Business Server 2011 Standard

警告：如果有什么问题的话，我不需要远程访问网络（至少一年或更长时间），尽管如果我从我的 ISP 购买静态 IP 或者找出 OpenDNS 解决方案来进行远程访问，我可能想要启用日历和邮件的 Exchange 远程网络访问。

失败的模型：我的第一个想法是在一台物理服务器上创建两个域。了解域的工作原理后，这将满足我的要求。我将拥有两个身份：家庭\爸爸、工作\鲍勃，而我的妻子（Sally）和孩子则是工作\莎莉、家庭\比尔、家庭\苏。然后我们有一些个人（家庭）电脑、一些商务（工作）电脑和一些共享电脑（无论是域还是其他，但用于备份存储和音乐等双重用途共享数据）

这个想法被这篇文章否定了，我从中了解到需要单独的机器来控制每个域。 单个服务器上有多个域。但是，它向我介绍了 UPN，这可能是一个替代方案

显然我不想承担两个完全隔离的网络的成本。此外，共享备份服务器需要双宿主 NIC。唉。

理由/要求/目标：造成这种情况的原因如下：

1) 我的孩子不是雇员，所以我不想让他们的活动、电子邮件和其他资源与工作混在一起。这部分是为了心理上的方便，部分是为了财务上的方便（例如，美国国税局关于混合用途公司资产的规定）

2) 它可以帮助我避免在公司资源中被意外识别为“爸爸”，并且不会在个人通信中泄露公司 ID。（真实故事：几年前，我在通过 RAS 签入的 Microsoft 资源上发现了我的用户 ID“爸爸”。我的同事和我为此大笑，“爸爸昨晚启动了一个构建！”）

3) 如果您认为我太吝啬，不愿意通过中介共享资源支付一些云服务解决方案，那么答案是肯定的。我有所有这些硬件，要么发送给回收商，要么连接到电线上并在它们所在的地方重复使用，所以我认为我可以学习一些网络技能，同时节省金钱和保护环境。

4) 附加奖励（以防它影响我的实施细节）：我买了一台非常强大的服务器，所以我可能想将旧硬件用作瘦客户端，并在服务器或其他机器上使用虚拟机进行实际用户计算和实验。这个变量应该是没有意义的，因为我预计虚拟机只是网络上的其他机器。

开放式问题： 这是我所能想到的问题。我很好奇还有什么我不知道的，这会让事情变得更简单还是更困难。

• 问题 1

用户主体名称是否适用于此？如果可以，我可以从登录屏幕“隐藏”到域，这样人们就不会对选择感到困惑？我猜凭证应该是[电子邮件保护]，[电子邮件保护]，[电子邮件保护]，[电子邮件保护]，[电子邮件保护]

• 问题 2

UPN 域（work.com、home.com）必须是真实域吗？看来 Windows 不会超出我的网络范围来验证任何人，但我也不知道如何在我的计算机上创建 work.com 和 home.com。也许这无关紧要？也许我遗漏了一些实施细节？

• 问题 3

访客将如何在家用机器上使用我的网络？我以前有爷爷奶奶的登录名。我能否只设置爷爷奶奶使用他们的真实电子邮件，以便他们在访问时无缝使用网络？（例如[电子邮件保护]，[电子邮件保护]) 我希望这能起作用，因为这意味着我可以使用公司簿记员自己的公司电子邮件 ID 授予她访问我的业务资源的权限。

• 问题 4

看来 UPN 不会帮助将机器加入域并隔离它们。如果为 false，我该如何使用 UPN 来实现这一点？如果为 true，也许没关系。我想我看到了一些可以控制谁有权访问特定机器的东西。如果是这样，我想我只需创建一个网络组 BusinessUsers 和 HomeUsers 并授予相应组对适用机器的访问权限，对吗？