A política de grupo pode negar acesso a compartilhamentos que não sejam de domínio

1

Eu tenho um requisito para implantar um compartilhamento Samba para facilitar o compartilhamento de arquivos entre um computador não-domínio DOS 6 e uma estação de trabalho Windows 7 que seja membro de um domínio Win 2008.

O departamento de TI não cooperará no momento, embora não esteja impedindo que eu conecte um dispositivo à rede. Então, em casa eu configurei uma simulação no VirtualBox, com um domínio que consiste em Server 2008 e um cliente Windows 7, e um grupo de trabalho com FreeDOS e Debian Jessie.

Eu tive que habilitar a autenticação LANMAN no Samba para suportar a conexão da caixa DOS. Agora eu tenho E: mapeado na máquina DOS, e na máquina Windows 7 eu posso navegar para \jessie\share usando o explorador.

Então, realmente estou me perguntando se isso funcionará na prática no site, ou a política de grupo do domínio pode me impedir de fazer isso?

Mais detalhes

A caixa DOS controla algumas máquinas industriais e os operadores gostariam de carregar os arquivos CAD nela pela rede. Aparentemente, a TI foi solicitada a configurar isso e falhou, e é por isso que eles estão relutantes em falar comigo sobre isso. Tendo olhado em outros sites, parece que o caminho a percorrer é mapear um compartilhamento de rede para uma letra de unidade local e depositar os arquivos cad lá.

A máquina DOS não pode acessar os compartilhamentos de rede existentes, pois não é um membro do domínio. Não tenho certeza se o DOS 6 pode ingressar em um domínio do Windows 2008, mas certamente não será possível sem o consentimento da TI. Então, pensei em usar um compartilhamento de arquivo neutro que seria acessível a partir dos computadores de domínio e não-domínio.

Eu pretendo usar um PI de framboesa para o trabalho, pois isso também resolve algumas restrições de espaço, permitindo que instalemos o PI no mesmo gabinete que a caixa DOS.

A estação de trabalho está em um segmento / 29 VLAN, portanto, adicionar dois computadores pode criar uma falta de endereços IP. No entanto, eu resolvi isso em minha simulação criando um intervalo totalmente diferente para o PI e a máquina DOS para falar, portanto, não interferindo de qualquer maneira na LAN IPv4 existente. E a caixa do Windows 7 pode encontrar o PI usando o link IPv6 local.

    
por Rodney 30.08.2017 / 14:13

2 respostas

0

Não tenho conhecimento de nenhuma opção específica para impedir o mapeamento de uma unidade de uma origem que não seja de domínio, mas existem maneiras de bloquear completamente as unidades de mapeamento na política de grupo, por exemplo, Configuração do Usuário \ Modelos Administrativos \ Componentes do Windows \ Windows Explorer. Remova "Mapear unidade de rede" e "Desconectar unidade de rede".

    
por 30.08.2017 / 23:46
0

Tem havido publicidade recente (e não tão recente) em torno das vulnerabilidades de segurança na autenticação SMBv1 e LANMAN, e que é instrumentação de política de grupo para controlar isso em escala de máquina. Assim, você pode achar que alguém que cuida da segurança um dia aperta isso e, ao fazer isso, interrompe seu acesso ao compartilhamento SMB intencionalmente de nível inferior criado por você. Eles podem até ter feito isso já.

Além disso, se sua rede corporativa tiver NetBIOS desativado, você precisará de uma entrada DNS para a caixa Debian que você está adicionando, o que provavelmente exigiria que você envolvesse a TI (ou incluísse uma entrada de host para a qual você poderia precisar de admin local). Ou eu acho que é só usar o endereço IP ...

    
por 16.11.2017 / 23:26