none
Локальные пользователи и домен RRS feed

  • Общие обсуждения

  • Доброго времени суток! Ситуация следующая: поднят домен (Name_Domain), DNS, вторичный контролер домена, на втором контролере домен ,так же поднят DNS (дублирующий, на случай отказа 1). В Default Domain Security Settings вкладке User Rights Assigment, пункт:
    Acces this computer from the network - Administrators, Name_Domain\Domain Computers, Name_Domain\Domain Users (ну это понятно, доступ к кампутери из сети, определеным ...)
     
    В AD создана учетная запись TEST с паролем 123456789, далее с рабочей станции не входящий в ДОМЕН пытаемся войти в домен Name_Domain, по имени хоста, запрашивается логин и пароль это все нормально, вводим логин: TEST
    пароль: 123456789
    смотри расшаренные ресурсы видим: netlogon, sysvol - это папки созданые при поднятии домена.
    Вопрос 1. Почему учетную запись TEST впустило в домен, хотя машина не зарегистрирована в домене. Вводить нужно было TEST@Name_Domain? вот только после этого, учетгная запись должна была попасть в домен.
    Вопрос 2. Каким образом настрпоить в политике безопасности, так чтобы: если рабочая станция не входит в домен, чтобы, ее не пускало под учетной записью TEST@Name_Domain. Ну или так, нужно чтоб все кто подключал кампутер в ЛВС, не входящий в ДОМЕН, не мог пользоваться сетевыми ресурсами.
    Ну кроме, как поднятия IPSEC, можно что нить еще предложить?


    OC Windows server 2003 - домен
    OC Window XP Pro - рабочая станция
    Спасибо








    2 марта 2008 г. 5:28

Все ответы

  • Тут в Вашем примере никого в домен не впускает. Просто предоставляется доступ к ресурсам. Чтобы убрать такое поведение можете попробовать сделать аутентификацию только по керберос и внедрить SMB Signing.

    По идее должно помочь. Только вот скажите, как Ваши удаленные товарищи по VPN будут ходить к ресурсам? А они появятся рано или поздно =)

    UPD: Только почитайте технет сначала - там именно с контроллерами доменов есть тонкости... =)

    2 марта 2008 г. 9:43
    Модератор
  • Alexander Trofimov

    Спасибо, попробую, а поповоду VPN пока не планиуется так, сеть "закрытая" (для бухгалтеров), и пока все находятся в одном здании ))))

    2 марта 2008 г. 10:23
  • Хмм... А не проще ли тогда просто его изолировать физически - этот сегмент =)

    Или файрвольчиком отгородить. А свичи пместить в помещение с контролем доступа(читай - серверная)? =)

    Но это так, мысли вслух =)

     

     

    2 марта 2008 г. 10:47
    Модератор
  • именно ))) просто другую подсеть сделать и всё ))) VLANами разнести ))) да мало ли )))
    2 марта 2008 г. 15:31
    Отвечающий
  • OITO  (проблемы с учетной записью)


    Дело в том что, сеть и так изолирована физически от сети интернет, а то что мне нужно сделать это защита от пользователей, кстати видел в другой организации, что: если  даже ПК зарегистрирован в домене, но пользователь входит локально на кампутер и пытается воспользоваться сетевыми (расшареными) ресурсами, у него всплывает табличка типа ввести логин и пароль, если ввести (1 вариант) login -  TEST   passw -  123456789  ТО ЕГО НЕ ПУСКАЕТ на расшаренные ресурсы,(2 вариант) а если ввести login -  TEST@namedomain  passw -  123456789  ТО ЕГО ПУСКАЕТ и это нормально, все сделано стандартными средствами сервера и все по умолчанию, при поднятии домена. Но у меня работает как 1вариант , так    и 2 вариант, Подскажите как сделать, так чтоб робил тока 2 вариант. Облазил все политики, нечего не нашел.
    Спасибо
    6 марта 2008 г. 17:08