none
USER自帶筆電到公司,如何限制存取內部資源 RRS feed

  • 問題

  • 同標題,已知內部有2003AD且使用防火牆DHCP綁MAC鎖IP控制上網,但USER用手動設定內部IP,雖不能上網,但一樣能通過AD認證連上FileServer取資料(用user自己的AD帳號),這狀況該如何處理?AD有那裡可以限制嗎?或需要third party設備?請不吝告知
    謝謝
    2010年7月28日 上午 02:20

解答

  • 同標題,已知內部有2003AD且使用防火牆DHCP綁MAC鎖IP控制上網,但USER用手動設定內部IP,雖不能上網,但一樣能通過AD認證連上FileServer取資料(用user自己的AD帳號),這狀況該如何處理?AD有那裡可以限制嗎?或需要third party設備?請不吝告知
    謝謝


    通常自己帶來的筆電應該不會加入公司的Domain , 可以透過IPSec的Policy去設定(設定Kerberos驗證)

    讓加入網域的電腦才可以連線公司的File Server

    Thanks


    年度軟體技術盛會微軟Tech.Days 2010 9月28日登場, 您還在等什麼? 快報名就對了.


    • 已標示為解答 peter_chiang 2010年7月29日 上午 06:12
    2010年7月28日 上午 10:01
  • 如果公司有較新的網路設備可支援802.1x,
    在使用Server 2008 DHCP Server 服務後,
    可以再搭配用Server 2008 架構NAP 環境做控管,
    並與公司內部網路做隔絕,
    詳情可以參考這篇簡報:網路存取保護解決方案 Windows Server 2008 NAP

    或者最快的方法是買專業NAC設備,
    只是小弟之前有替公司詢價的結果是費用都頗高,
    不然,其實Vincent Lin 的方法是比較不用花錢的,
    缺點只有在不熟相關設定的狀況下,需要在虛擬環境測試及了解設定步驟。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    • 已標示為解答 peter_chiang 2010年7月29日 上午 06:12
    2010年7月28日 下午 01:28
    版主

所有回覆

  • 那取消漫遊吧
    2010年7月28日 上午 02:23
  • 那取消漫遊吧

    能再解釋一下嗎
    感謝
    2010年7月28日 上午 02:30
  • 在AD的帳號管理裡面>>>登入到>>>>這邊可以指定登入到哪台電腦

    這邊也可以設定

     

    漫遊設定在本機端的群組原則>>系統管理範本>>>使用者設定檔

    2010年7月28日 上午 05:53
  • 可能是我表達能力太差了,讓回答有點偏題,我再補充模擬情境

    1.USER自帶NB進公司,開機登入本機,這....AD應該管不到

    2.user自行設定網卡IP,這行為AD應該也管不到

    3.登入FileServer,跳出輸入帳密訊息,用user自己的AD帳密,這......也會過吧

    4.依照User的AD權限,能看到的通通帶回家,這......很簡單吧

    就是這種情況,該以何種設定或何種設備,可以在哪一個動作上直接拒絕掉呢?

    感謝大家

    2010年7月28日 上午 09:49
  • 同標題,已知內部有2003AD且使用防火牆DHCP綁MAC鎖IP控制上網,但USER用手動設定內部IP,雖不能上網,但一樣能通過AD認證連上FileServer取資料(用user自己的AD帳號),這狀況該如何處理?AD有那裡可以限制嗎?或需要third party設備?請不吝告知
    謝謝


    通常自己帶來的筆電應該不會加入公司的Domain , 可以透過IPSec的Policy去設定(設定Kerberos驗證)

    讓加入網域的電腦才可以連線公司的File Server

    Thanks


    年度軟體技術盛會微軟Tech.Days 2010 9月28日登場, 您還在等什麼? 快報名就對了.


    • 已標示為解答 peter_chiang 2010年7月29日 上午 06:12
    2010年7月28日 上午 10:01
  • 如果公司有較新的網路設備可支援802.1x,
    在使用Server 2008 DHCP Server 服務後,
    可以再搭配用Server 2008 架構NAP 環境做控管,
    並與公司內部網路做隔絕,
    詳情可以參考這篇簡報:網路存取保護解決方案 Windows Server 2008 NAP

    或者最快的方法是買專業NAC設備,
    只是小弟之前有替公司詢價的結果是費用都頗高,
    不然,其實Vincent Lin 的方法是比較不用花錢的,
    缺點只有在不熟相關設定的狀況下,需要在虛擬環境測試及了解設定步驟。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    • 已標示為解答 peter_chiang 2010年7月29日 上午 06:12
    2010年7月28日 下午 01:28
    版主
  • 我了解了
    謝謝各位
    2010年7月29日 上午 06:13