不加入域不能访问域资源。能不能做到?客户机没有加入域,即使有域帐户和密码,也不能访问域中的资源(例如共享文件夹是可以通过拒绝访问权限来做,我希望基于计算机来做)。

回答:根据您的描述,我对这个问题的理解是:您想禁止用户从非域的计算机访问域内的资源,即使用户知道域账户密码。由于当计算机未加入域时,活动目录内是没有存储此计算机的对象的。 我们无法通过限制计算机的方式限制这些来在非域用户的访问。如果您需要禁止用户从非域的计算机访问域内的所有资源,我建议您可以尝试使用IP security来实现这个目的。

您可以在您的所有资源服务器上设置组策略,让客户端必须启用IP security、并使用Kerberos验证来访问服务器上的资源。这样,非域内计算机因为无法接受到策略,且无法进行Kerberos验证,就无法访问这些服务器资源了。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

但是这个设置的影响是全局性,它将影响到所有的域资源访问,影响所有的计算机,而不是个别非域的计算机。我建议你在选择这个方案之前,进行一些必要的测试。

您可以参考如下链接,来了解IP security是如何运行和配置的:

IPsec
http://technet.microsoft.com/en-us/network/bb531150.aspx

Internet 协议安全 (IPSec)
http://technet.microsoft.com/zh-cn/library/cc783420(WS.10).aspx

Step-by-Step Guide to Internet Protocol Security (IPSec)
http://technet.microsoft.com/en-us/library/bb742429.aspx

Windows Server 2003 IPSec Concepts
http://technet.microsoft.com/en-us/library/cc779969(WS.10).aspx

创建和使用 IPSec 策略
http://technet.microsoft.com/zh-cn/library/cc730656(WS.10).aspx

如何使用 IPSec 阻止特定网络协议和端口
http://support.microsoft.com/kb/813878

如何: 使用 IPSec 策略来保护 Windows Server 2003 中的终端服务通信
http://support.microsoft.com/kb/816521/zh-cn

Lamb Shu

不加入域不能访问域资源的相关文章请参考
未加入域不能访问域内资源