Esta é uma daquelas áreas interessantes que não se encaixam em um caso de uso que a Microsoft pensou com o sistema operacional Windows.
As permissões de NTFS não têm nenhuma funcionalidade relacionada à atribuição de permissões com base no computador que está acessando, a não ser uma aproximação muito grosseira usando o "INTERATIVO" ou "NETWORK" identificadores de segurança conhecidos (SIDs) . O usuário que acessa o recurso específico é usado na decisão de controle de acesso, independentemente do computador do qual a tentativa de acesso foi originada.
Se você quiser uma "correção" com base na Política de Grupo, sugiro uma solução alternativa desagradável. É sub-ótimo, mas vai conseguir o que você está procurando. (Isso é muito rápido e sujo. Em particular, não é realmente bom colocar os GPOs na parte superior do domínio indiscriminadamente, porque em geral você deseja que o menor número de GPOs se aplique a um determinado computador ou usuário para acelerar a aplicação de Diretiva de Grupo.)
-
Crie um grupo de segurança global denominado "Contas de computador sensíveis" no Active Directory. Faça todas as contas de computador onde o acesso "Sensível" será realizado aos membros deste grupo.
-
Crie um grupo de segurança global denominado "Contas de usuários confidenciais" no Active Directory.
-
Crie contas de usuário secundárias no Active Directory para todas as pessoas que realizarão as atividades "confidenciais". Torne todas essas contas de usuários membros do grupo "Contas de usuários confidenciais".
-
Crie e vincule um GPO na parte superior do Active Directory chamado "Restringir Logons de Conta de Usuário Sensível". Neste GPO, vá em "Configuração do Computador", "Configurações do Windows", "Políticas Locais" e "Atribuição de Direitos do Usuário". Localize o "Negar logon localmente" (e, se você estiver tão inclinado e paranóico, a configuração "Negar logon como um serviço" e "Negar logon como um trabalho em lotes") e adicione o grupo "Contas de usuário DOMAIN \ Sensitive" ao a configuração. (Isso pressupõe que você não esteja usando nenhuma dessas políticas atualmente nos níveis mais baixos do AD. Em um Active Directory de estoque no W2K-W2K8 isso seria verdade.)
-
Modifique as permissões do GPO "Restringir os Logons de Conta de Usuário Sensível" adicionando o grupo "Contas de Computador Sensíveis" com a permissão "Negar / Aplicar Diretiva de Grupo".
-
Aplique permissões de NTFS às pastas em que os arquivos "Sensíveis" estão armazenados para permitir que apenas membros do grupo "Contas de usuários confidenciais" acessem. (Este é um exercício deixado para o cartaz ...)
Isso fará com que as "Contas de usuário confidenciais" possam fazer logon localmente apenas nos computadores nomeados no grupo "Contas de computador confidenciais". Dessa forma, você pode impedir o acesso às pastas que contêm os arquivos "Sensíveis", pois você definirá as permissões para limitar o acesso a essas pastas apenas às "Contas de usuário confidenciais" (que só podem fazer logon nas "Contas de computador sensíveis") computadores.)
Ter contas secundárias para usuários é muito, muito ruim. Como você quer fazer algo para o qual a Microsoft não tenha projetado o sistema operacional, no entanto, você precisa fazer algo feio para contornar as limitações inerentes.
Outra solução, ainda potencialmente feia mas viável, seria hospedar essas pastas compartilhadas com um servidor Samba. O Samba, usando o parâmetro de configuração "hosts allow", tem um mecanismo para limitar o acesso a pastas compartilhadas com base na permissão do usuário e no computador de origem a partir do qual o acesso está chegando. Se você não quer ter um servidor baseado em * nix por aí (virtualmente, possivelmente), essa alternativa não faz muito bem.