我有一个包含 Windows 域和工作组计算机混合集合的网络。
目前,如果用户在连接时提供有效的域凭据,工作组计算机可以访问域计算机上托管的文件/文件夹共享。我需要让这种情况不可能发生。
有没有办法强制要求客户端计算机必须是域成员,然后才授予它们访问域网络共享的权限?
域控制器正在运行 Windows Server 2016 Standard。
答案1
几年前我遇到过类似的情况,我记得解决方案是使用防火墙阻止计算机。我不记得我是否会拒绝访问某些地址/范围(当进入端口 445 时)或授予某些地址/范围的访问权限并拒绝所有其他地址/范围。但我记得我是使用防火墙而不是权限或策略来做到这一点的。所以,看看防火墙,如果你稍微调整一下,你应该能够让它工作。
答案2
你想要的是所谓的“域隔离”,实现起来有点复杂。
域隔离的关键要素是 Windows 防火墙中的一组连接安全规则,由 GPO 分发,强制域成员在接受连接之前进行身份验证。我的建议是先在实验室中进行实验:很容易出现“过多隔离”,最终导致域或机器根本无法使用。我曾经在实验室中遇到过这种情况...
关于域隔离有很多信息。你可以从这里开始阅读:https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/domain-isolation-policy-design-example