我想确保仅允许从特定 IP 地址对 Windows 域控制器进行管理访问。
笔记:我的意思不仅是 RDP 访问,而且是允许管理访问的任何端口/协议:SMB、WMI、LDAP、ADSI 等。
DC 上的大多数端口默认都暴露给客户端计算机。因此我无法设置 IP 过滤器来阻止它们。
我需要一个基于用户/组的解决方案,仅允许管理员从某些特定的 IP 范围登录。
最好的方法是什么?
我唯一的想法是编写一个脚本来实时检查某些登录事件并终止不需要的连接。这并不优雅,也不能保证立即阻止。
这在大型网络和多租户环境中应该是一个非常常见的问题。
还有其他更好的主意吗?