本文探讨了如何通过IPSecurity策略限制非域计算机用户访问域内资源,即使他们持有域账户密码。方法涉及在服务器端设置组策略强制Kerberos验证,非域计算机由于无法满足条件将被禁止访问。请注意,这会影响全局资源,需谨慎实施。
不加入域不能访问域资源。能不能做到?客户机没有加入域,即使有域帐户和密码,也不能访问域中的资源(例如共享文件夹是可以通过拒绝访问权限来做,我希望基于计算机来做)。
回答:根据您的描述,我对这个问题的理解是:您想禁止用户从非域的计算机访问域内的资源,即使用户知道域账户密码。由于当计算机未加入域时,活动目录内是没有存储此计算机的对象的。 我们无法通过限制计算机的方式限制这些来在非域用户的访问。如果您需要禁止用户从非域的计算机访问域内的所有资源,我建议您可以尝试使用IP security来实现这个目的。
您可以在您的所有资源服务器上设置组策略,让客户端必须启用IP security、并使用Kerberos验证来访问服务器上的资源。这样,非域内计算机因为无法接受到策略,且无法进行Kerberos验证,就无法访问这些服务器资源了。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
但是这个设置的影响是全局性,它将影响到所有的域资源访问,影响所有的计算机,而不是个别非域的计算机。我建议你在选择这个方案之前,进行一些必要的测试。
您可以参考如下链接,来了解IP security是如何运行和配置的:
Step-by-Step Guide to Internet Protocol Security (IPSec)
http://technet.microsoft.com/en-us/library/bb742429.aspx
如何: 使用 IPSec 策略来保护 Windows Server 2003 中的终端服务通信
http://support.microsoft.com/kb/816521/zh-cn
Lamb Shu
不加入域不能访问域资源的相关文章请参考
未加入域不能访问域内资源
扫一扫
2361
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
