none
¿Lograr en una red que las máquinas que no sean parte del dominio no puedan acceder al los servicios de la Red? RRS feed

  • Pregunta

  • Tengo una red de computadoras con un controlador de dominio win2003 quiero que si una máquina nueva se incorpora a la red, pero no está unida al dominio, esta no pueda acceder a los servicios de la red.
    viernes, 3 de julio de 2009 17:04

Respuestas

Todas las respuestas

  • Hola,

    Para que una maquina conectada a tu red fisica pueda conectarse a recursos de tu dominio debe validarse. Entonces podrias empezar a trabajar con los grupos de tu dominio y por quitar los permisos de los shares/impresoras a los grupos "todos" o "everyone".

    Saludos
    Juan Barles - SECT IT Global Services
    viernes, 3 de julio de 2009 22:26
  •  Es verdad, pero la idea era evitar eso aunque el usuario tuviera un user y password válida en el dominio.

    Tienes alguna otra idea?

    Muchas gracias
    lunes, 6 de julio de 2009 20:56
  • La autorización de acceso a recursos compartidos de red es por usuario, así que si un usuario conoce una combinación usuario/contraseña correcta va a poder acceder con los permisos que correspondan.

    Por otro lado, no es recomendable nunca tener los permisos otorgados a Todos (Everyone)

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    martes, 14 de julio de 2009 22:35
    Moderador
  • Ok, gracias

    Pero vamos a pensar como lograr evitar que un usuario que tenga la combinación usuario/contraseña si su máquina no es parte del dominio no pueda acceder a los recursos de la red.

    Yo estaba pensando en algun script de inicio puesto en las sesiones de los usuarios que inicien en el dominio, este script que abra determidado puerto que pueda verificar cada cierto tiempo desde el servidor y asi manipular desde el servidor el firewall de este impidiendo el acceso al servidor de esa estacion de trabajo cuando este puerto no este abierto.

    Que creen?

    Saludos
    jueves, 16 de julio de 2009 14:23
  • :-DDD
    Antes que la solución que propones es más fácil que una persona vaya recorriendo los equipos y se la apague al que no la tiene en dominio
    :-DDD

    Hablando en serio ahora. Si realmente necesitas implementarlo se puede :-) pero no es sencillo

    Para eso hay que usar políticas de IPSec, de forma tal que si una máquina no está en el dominio no pueda conectarse a máquinas del dominio, no importa el usuario.
    Lo que debes tener en cuenta, es que te toca a tí, ver cómo se implementa porque está totalmente fuera de lo que puedo explicarte en un foro.

    Te dejo unos enlaces para que comiences a ver el tema:

    Server and Domain Isolation:
    http://technet.microsoft.com/en-us/network/bb545651.aspx

    Server and Domain Isolation Using IPsec and Group Policy:
    http://technet.microsoft.com/en-us/library/cc163159.aspx

    Download details: Setting Up IPsec Domain and Server Isolation in a Test Lab:
    http://www.microsoft.com/downloads/details.aspx?familyid=5ACF1C8F-7D7A-4955-A3F6-318FEE28D825&displaylang=en

    Download details: Server and Domain Isolation Using IPsec and Group Policy:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=404FB62F-7CF7-48B5-A820-B881F63BC005&displaylang=en

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 16 de julio de 2009 20:03
    Moderador
  • Gracias, a estudiar a ahora.
    • Marcado como respuesta fiallo viernes, 17 de julio de 2009 18:42
    viernes, 17 de julio de 2009 18:04