环境:一个不受本地管理员管理的 AD 域(无法编辑、无法添加 GPO 等)。用户在此处拥有帐户。将此 AD 称为 alpha。此 AD Alpha 对本地管理员管理的本地 AD 域(将其称为 Zeta)具有信任。包含计算机帐户。具有可访问的网络共享
目标:使用 AD Alpha 的用户帐户和 AD Zeta 计算机帐户设置 AD Zeta 网络共享文件夹的文件夹访问权限。
原因:为了确保当用户使用来自 Alpha 的凭据访问 Zeta 上的共享时,他们只有在从他们在工作时间通常使用的机器访问该共享时才能这样做。
示例:用户 A 使用计算机 A 登录 = 授予访问权限 用户 A 使用计算机 B 登录 = 无访问权限
用户 B 使用计算机 B 登录 = 授予访问权限 用户 B 使用计算机 A 登录 = 无访问权限
答案1
我不相信有任何方法可以像您使用本机工具那样做到这一点。NTFS(和共享)权限分配给用户,而不是分配给用户网络会话所来自的计算机。您可以在 Zeta 服务器上使用 IPSec 或 Windows 防火墙,仅允许 CIFS 流量来自计算机 A,但其他任何计算机都无法连接到 Zeta。
我认为你主要是运气不好。如果计算机 A 被重新镜像或获得新的动态 IP 地址或干脆退役,那将是一件非常麻烦的事。你为什么害怕计算机 B?它通常已经需要在域 Alpha 中了。而且由于你无论如何都允许域之间进行各种网络流量(我假设它们共享一个 LAN?),你并没有通过你计划的方案真正阻止任何你无论如何都不会受到攻击的东西。