Eu quero ter certeza de que o acesso administrativo aos controladores de domínio do Windows só é permitido em endereços IP específicos.
Note: I mean not only RDP access but ANY port/protocol that allows administrative access: SMB, WMI, LDAP, ADSI, etc.
A maioria dessas portas em DCs é exposta aos computadores clientes por padrão. Assim, não posso colocar filtros IP para bloqueá-los.
Eu preciso de uma solução baseada em usuário / grupo que permita o logon do administrador somente de um intervalo de IP específico.
Qual é a melhor maneira de fazer isso?
A única idéia que tenho é fazer um script verificando alguns eventos de login em tempo real e matar conexões indesejadas. Isto não é muito elegante e não garante o bloqueio instantâneo.
Este deve ser um problema muito comum em grandes redes e ambientes com vários usuários.
Existe alguma ideia melhor?