有没有办法阻止计算机join域控制器上的域 – 即只允许域访问域计算机?
要求是,即使域pipe理员将无法join到域的计算机,而不先将其添加到DC?
安装程序是与XP / W7客户端的SBS2003 R2高级版。
谢谢
你的评论使事情看起来更清楚。
在每台客户端计算机上使用证书部署的802.1X或IPSEC将允许客户端设备进行身份validation,从而为您提供所需的安全环境。 如果您实际上没有对客户端设备进行身份validation,则无法轻松阻止未经授权的设备连接到networking介质(必要时使用伪造的IP或MAC地址)。
如果用户可以物理地操作客户端设备(即试图将证书撬出设备),则甚至设备authentication也不好。
但是,假设您可以将设备证书存储在一个不能被实际访问的合理防篡改位置,则可以创build一个非常安全的情况,对于未经授权的设备连接到networking介质并用于访问服务器,可以使用802.1X或IPSEC。
基本上“埃文说的是什么”,强调在正常的操作中混淆默认的行为是一个好主意。
如果你真的想要的话,你可以使用这篇知识库文章中的信息(以及你的一些想象力)来制作一些东西。
另一种方法是使用“将工作站添加到域”GPO设置(文档在这里 )。
呃,埃文是正确的,但是“非正常的”这样的设置在你看来。
谷歌周围的微软文档如何设置IPSec域隔离,如这一个http://www.microsoft.com/downloads/details.aspx?FamilyId=5ACF1C8F-7D7A-4955-A3F6-318FEE28D825&displaylang=en
我使用了这些文档中的很多来获取如何在家庭局域网上设置这些信息。 我使用所有安全策略的协商模式。 这使得我所有的域名stream量安全,但允许外部客户端连接,如果需要的话。 我使用Kerberos进行身份validation,而不是使用pki服务器,因为它更易于pipe理,但是我正在使用pki服务器设置。
您的其他选项是来自第三方安全供应商的产品,如赛门铁克,www.symantec.com/business/network-access-control
还有其他人也允许有相同的场景。 你甚至可以在每个客户端/服务器上使用防火墙,只允许在允许列表中与ip进行通信,并使用dhcp注册系统保留所有mac / ip列表。 Windows 2008 R2现在有了DHCP注册选项我读了一下,可以编写脚本做一些时髦的东西在路上。