» Запрет доступа к сети домена

Здравтствуйте.
Есть такая вот интересная задача.
Как запретить доступ к доменным компьютерам с любого компьютера вне домена, при условии, что известен пароль доменного юзера?

Т.е. более детально - если сотрудник со своим собственным ноутбуком, который не входит в домен, попытается получить доступ, например, к шаре на сервере или рядовом компьютере, входящем в домен, с использованием своей доменной учетки, то соответственно этот сервер (или рядовой компьютер) должен давать отлуп и не пускать его.

haltavmc
Если прямого решения не найдёте - хотя оно меня тоже заинтересовало, то вот как работает у меня -- даже не задумывался о проблеме...
В общем у меня шар на пользовательских ПК нету(ну только если системные для админов - я их не убирал ). Все шары хранятся на сервер и мапируются юзерам через групповые политики при входе в систему... Соответственно с их учётками "простых смертных" просто не хватает прав что бы зайти на шару сервера.
Конечно это обходной, но всё же способ.

haltavmc

У меня примерно так же рализовано как и у Alukardd , на Win2003 - гостя запретил и каждому юзеру дал свой логин пасс, с разграничением по правам на папках. У меня одноранговая сеть но шары юзеров запрещены начальством )

Естественно не хватает. С этим спору нет.
Но! Если с компьютера, который в домен не входит, попытаться зайти на сетевую шару, то появляется окно для ввода имени и пароля. Так вот, если пользователь введет данные своей доменной учетки, то доступ, естественно получает. А необходимо, что бы не получал.

haltavmc
В схеме реализованной NskRonin, похоже так и происходит - как вас не устраивает. У меня же не совсем так. Пользователь со своим логином и паролем ни к каким шарам доступ не получит. Только с админским паролем. Т.к. шары монтируется групповыми политиками то к ним доступ учёткам открывать не обязательно...

з.ы. Что-то я начал сомневаться в своих словах) Не я точно проверял - учётки пользователей не могут войти на шары... или могут, но не на все... а-а-а я запутался! На работе появлюсь через неделю, не раньше так, что 100% за свои слова в данном случае не ручаюсь!!!

Цитата:

Т.к. шары монтируется групповыми политиками то к ним доступ учёткам открывать не обязательно...

Ага. Вот только шары нужно монтировать... А без монтирования как-то можно?
И потом, если какой-нибудь юзер расшарит папку на своем компе (а это нужно иногда и "запретить юзерам открывать шары" не предлагать - т.к. в данном случае это не вариант).

Т.е. задача, казалось бы, предельно простая, но решения ей я не нахожу

Возможно, можно было бы это реализовать в политике "Запретить доступ к компьютеру из сети", но такой группы как "Компьютеры ВНЕ домена" не существует.

Пробовал засунуть в эту политику "Гости", "Гости домена", "АНОНИМНЫЙ ВХОД" в различных комбинациях - до лампочки.


PS. Чувствтвую, что необходимо играться комплексно: (ГП: Доступ к компьютеру из сети / Запрет доуступа из сети) + Досутп к шаре + НТФС доступ.

Но что именно нужно сделать - я пока не знаю

haltavmc
Цитата:

И потом, если какой-нибудь юзер расшарит папку на своем компе (а это нужно иногда и "запретить юзерам открывать шары" не предлагать - т.к. в данном случае это не вариант).

1 - если расшаривать надо всегда одним и тем же, то у меня есть общие папки для этих юзеров(по мимо личных и совсем общих). Например 3-м секретарям монтируется для этого дополнительный сетевой диск.
2 - а если они шарят вообще для кого угодно, то на файлопомойке просто папку для этих целей можно завести...
в общем мысля понятная...

Эй вумные товарисчи неужто и вправду нету такой возможности по ограждению домена от внешнего мира???

подобие cisco nat может? но дорогова-то

если хватит знаний, можно настроить в домене IPSEC

Цитата:

если хватит знаний, можно настроить в домене IPSEC

Пока знаний не хватает, но это поправимо.
Главный вопрос - реализация IPSEC позволит полностью получить необходимый функционал?

Доступ к компьютеру из сети, случайно не то, что нужно ?

Цитата:

Доступ к компьютеру из сети, случайно не то, что нужно ?

Цитата:

Доступ к компьютеру из сети
Описание
Это право пользователя определяет, каким пользователям и группам разрешается подключаться к компьютеру через сеть.

Цитата:

...каким пользователям и группам...

Скорее всего не то. Хотя вопрос тогда в том каких "пользователей" или "группу" добавить в эту политику?
Я пробовал использовать её - устанавливал только "Компьютеры домена" - но это не дало никаких результатов, т.е. компьютер, не подключенный к домену по-прежнему мог получить доступ к шарам.

Цитата:

Главный вопрос - реализация IPSEC позволит полностью получить необходимый функционал?

позволит, трафик между членами домена будет шифроваться на уровне IP, так что не то что доступ к шарам, но даже пинг не пройдет.

haltavmc

А если поставить мак-фильтр на сеть, я ведь так понимаю что компы не из домена вообще гулять по сети не должны?

NskRonin
И как это реализовать?
На каждом компе разрешать доступ только с определенных маков?
По-моему без привлечения сторонних программ это вообще невозможно (т.е. чисто средствами винды)

А вот мак заменить, при желании, можно достаточно просто. Так что не вариант.

haltavmc

А это не то что нужно?

Добавлено:
И примерно то же на oszone

NskRonin
"Это" - в принципе может быть выходом из сложившейся ситуации.
Но то, что на oszone описано - вообще то, что нужно. Там, кстати, в теме поднят вопрос, что автор хочет получить в итоге: защититься от "залётных" компов или вынудить юзеров логиниться в домене, чтобы иметь контроль над их компами?

Я бы на этот вопрос ответил как и то, и то.
Необходимо вынудить пользователей логиниться в домене для того, что бы они могли получить доступ к ресурсам сети. Т.е. так, что бы даже если пользователь залогинится на своем компьютере (выберет "<PC-NAME> (этот компьютер)", а не "<DOMAIN-NAME>"), то он бы всё-равно никак не мог получить доступ к ресурсам сети, что бы даже окно для ввода доменного имени и пароля не появлялось.

ЗЫ надеюсь внятно описал