Restringir o acesso ao compartilhamento usando um usuário do AD usando um computador específico

Question

Restringir o acesso ao compartilhamento usando um usuário do AD usando um computador específico

#1 resposta do (2 votos)

2

O ambiente: Um domínio do AD que não é gerenciado por administradores locais (não é possível editar, não pode adicionar o GPO etc.). Os usuários têm contas aqui. Ligue para este AD alpha Este AD Alpha tem uma confiança em um domínio local do AD (Chame este Zeta) que os administradores locais administram. Contém contas de computador. Tem compartilhamentos de rede acessíveis

Objetivo: Definir permissões nas pastas compartilhadas de rede do AD Zeta usando contas de usuário do AD Alpha e contas de computador AD Zeta para acesso à pasta.

Razão: Para ter certeza de que quando um usuário usando credenciais da Alpha acessar um compartilhamento no Zeta, ele só poderá fazê-lo se também estiver acessando esse compartilhamento de uma máquina que normalmente usaria durante o horário de trabalho.

Exemplo: Usuário A conectado com o computador A = conceder acesso Usuário A logado com o computador B = sem acesso

Usuário B conectado ao computador B = conceder acesso Usuário B logado com o computador A = sem acesso

permissions windows active-directory user-accounts file-permissions

por Mozilla 24.01.2013 / 23:43

1 resposta

Tags permissions windows active-directory user-accounts file-permissions

Tridion 2011 SP1 HR1 - erro após instalar o editor É possível obter o status de saída do processo zumbi a partir do shell?

score 2 · Answer 1

Eu não acredito que haja alguma maneira de fazer isso, como você descreve com ferramentas nativas. As permissões de NTFS (e compartilhamento) são atribuídas a um usuário, não ao computador de onde vem a sessão de rede de um usuário. Você poderia usar o IPSec ou o Firewall do Windows em seu servidor Zeta para permitir que o tráfego CIFS viesse do computador A, mas nenhum outro computador poderia se conectar ao Zeta.

Eu acho que você está basicamente sem sorte. E seria uma grande dor se o computador A fosse re-imaginado ou tivesse um novo endereço IP dinâmico ou fosse simplesmente aposentado. Por que você está com medo do computador B? Geralmente já precisa estar no domínio Alpha. E como você está permitindo todos os tipos de tráfego de rede entre os domínios de qualquer maneira (suponho que eles compartilham uma LAN?), Você não está realmente impedindo qualquer coisa pelo seu esquema planejado que você não estaria vulnerável de qualquer maneira.