我search一种方法来防止networking访问不属于我们公司Active Directory域的设备。
有些人把他们的个人笔记本电脑连接到我们的公司networking,有些人无意中造成问题。
我准备使用DHCP策略给他们一个单独的DNS名称(aliens.contoso.com),让我快速看到这样的设备是否连接(我只是看看DNS控制台)。 当客户端不属于我们的contoso.com域时,此策略被激活。
这种方法的问题是:不需要的笔记本电脑已经完全纠正了IP设置,所以用户可以使用它。
这只允许有一个单独的DNS名称。 我无法指定其他路由器或不可用的IP地址。
我们希望将不可用的IP设置分配给这些笔记本电脑。 所以用户不会使用它,或打电话给我们。 这将使我们能够确保笔记本电脑清洁,并给用户指示。
当然,他们可以手动input正确的设置,但我们很less有用户可以这样做,这将大大减less问题。
我不打算通过802.1X强制networking访问。 我知道DHCP方法较弱。
我想我们可以使用networking保护服务器(我们使用Windows 2012 R2作为我们的服务器),但我不明白如何。
总之:你不能
为了使DHCP服务器知道设备是否在域内,它必须与域控制器通信,因此它首先有一个IP地址。
这就是为什么你想要的设置是灰色的。
一个窍门是可以用一个特殊的前缀命名你的计算机。 然后,DHCP服务器可以检测到它,当计算机关联DHCP租约。 所以期望的选项将可用(不灰色)。
通常的做法是使用802.1Xauthentication,但是你说过你不想这样做。 NPS与802.1X一起使用,所以如果你不打算使用它,那么你将不会有太多的使用NPS。
我能想到的唯一方法是使用基于端口的VLAN(而不是802.1q)将所有未使用的networking端口(可以是“guest”端口)移动到不同的vlan上,将DHCP Helper添加到该VLAN并将DHCP请求转发给您的2012 R2服务器,并为其发布不同的子网/网关/等。 或者你可以指导他们进入强制门户。 或者你可以根本不给他们一个IP地址,而且没有网关。