Добрый день.
Есть сеть на server 2008 с поднятым AD. Есть в домене примерно сотня компов и полсотни пользователей. У каждого пользователя есть как личная папка на сервере (с полным доступом), так и доступ к нескольким общим папкам (чаще всего "только для чтения"). Кроме того развернут WiFi. Эти же пользователи имеют право приносить свои ноутбуки и коннектиться с ним по Wi-Fi к серверу. Соответственно, в свои папки они могут записать что-угодно (игрушки, например), используя свои доменные учётные данные.

Требуется разрешить доступ с недоменных компов (ноутов) к этим общим папкам, но ограничить его "только для чтения". Т.е. доступ должен даваться не по доменному имени пользователя, а по связке "имя пользователя + принадлежность компа к домену".

Привязать имя пользователя к доменному имени компа не получится: любой пользователь должен иметь возможность входа с любой машины.
NAP и NPS в данном случае, как я понял, тоже не проходят?

Я не вижу, как можно выполнить поставленную задачу. Меняйте постановку задачи.

я вообще не понял ситуации.
- есть домен
- есть компьютеры в домене и пользователи в домене
- есть ноутбуки не в домене и пользователи не в домене

вы хотите дать доступ пользователям ноутбуков к ресурсам в домене? или что?
Ибо фраза:
Требуется разрешить доступ с недоменных компов (ноутов) к этим общим папкам, но ограничить его "только для чтения". Т.е. доступ должен даваться не по доменному имени пользователя, а по связке "имя пользователя + принадлежность компа к домену". »
если ноут не в домене, то какая тут принадлежность...
или вы хотите запретить вход доменных пользователей с недоменных компьютеров?

или вы хотите запретить вход доменных пользователей с недоменных компьютеров? »
А как они зарегистрируются на машине, не принадлежащей домену, под доменной учётной записью? Разве это возможно?

Я не вижу, как можно выполнить поставленную задачу. Меняйте постановку задачи. »
поясните, пожалуйста. может сторонние приложения (фаерволы)?

exo, не совсем.
Пользователь недоменного ноутбука может получить доступ к расшаренному ресурсу зная свои доменное имя и пароль.
Грубо говоря, включает человек свой домашний ноут, коннектится к сети (wi-fi), нажимает win+r, вводит, скажем, \\fileserver\vasya_pupkin_folder, затем указывает при подключении свои доменные имя и пароль и получает полный доступ к этой своей папке. А требуется, чтобы в данном случае он получил доступ "read only", поскольку вошел с машины, не входящей в домен.

Поясню, для чего это надо.
Сеть принадлежит учебному заведению, пользователями являются студенты, и очень часто им надо забирать домой свои незавершённые проекты для доработки. А вот приносить они ничего не должны.

gofur, ваша задача неосуществима с такими условиями.

Angry Demon, а что можно подкорректировать в условии, чтобы осуществить задачу?

А как они зарегистрируются на машине, не принадлежащей домену, под доменной учётной записью? Разве это возможно? »
я имел виду, что работают на ноутах с локальными у.з. а на сервер доступ через сеть. Ну и сервер будет спрашивать доменные данные.

gofur, есть один вариант, но это пока в теории. на практике первую часть не делал.
1) как-то закрываем доступ к серверу с недоменных компов:
а - Например, если в NPS указать вроде "недоменные компы не имеют доступа к серверу по протоколу SMB". Но я не знаю, можно ли там такое сделать. А может это даже глупость.
б - в DHCP назначить резерв с МАС адресами для ноутов. На сервере в фаерволе блокировать данные адреса по порту SMB протокола 445. Но пользователи смогут менять IP на ноутах.
в - купить роутер с WiFi, настроить в режиме NAT. Использовать только для ноутов. В фаерволе сервера блокировать 445 порт с внешнего адреса роутера. Но если пользователи провода от компов перетыкают, не поможет.

2) устанавливаем на сервер IIS, и публикуем личные папки в веб. И доступ на чтение у них будет. IIS только настроить нужно будет правильно.

ну вообщем, какая-то такая идея. Ну или если деньги позволяют, может в Share Point есть нужный функционал.

я имел виду, что работают на ноутах с локальными у.з. а на сервер доступ через сеть. Ну и сервер будет спрашивать доменные данные. »
exo, ясно, разобрались.

То, что вы хотите, является четвёртым методом аутентификации "где ты". Windows Shares такой метод аутентификации не поддерживают, поэтому и говорю, что задача решения не имеет. Сторонние приложения, думаю, тоже не помогут.

WindowsNT, smb на Linux?

ч0?

WindowsNT, предполагаю, что вопрос из-за созвучия SMB & S.A.M.B.A )

exo, да, спасибо за уточнение

gofur, так а что вы имели ввиду? SMB или SAMBA ? если вы про мой вариант, то в чём вопрос про SMB ?
Если у вас ни разу в теме не прозвучало ничего о Linux, то почему вы вдруг о нём спросили?

exo, именно SAMBA. Я пытаюсь найти иные способы решения задачи. Вот и подумал, что, может, стоит попробовать поднять на виртуальной машине linux, и разместить эти личные папки там? Если, конечно, возможно настроить доступ тем самым четвёртым метод аутентификации "где ты"?

Я пытаюсь найти иные способы решения задачи. Вот и подумал, что, может, стоит попробовать поднять на виртуальной машине linux, »
не знаю, это уже вопрос из раздела "Общий по Linux".
Но только подумайте - оно надо пользователям по две учётки иметь? Возможно SAMBA работает с АД, но... Это вам в раздел для Linux нужен.

А чем вас не устраивает через IIS ? Возможно, можно настроить и через FTP. и не потребуется 4-ая аутентификация.

exo, полностью запретить подключение недоменных машин к серверу не получится, т.к. на сервере крутится локальный сайт на апаче с прикрученной к нему библиотекой (набором книжек)

полностью запретить подключение недоменных машин к серверу не получится »
если вы внимательно прочитаете заново, то увидите, что я предлагал блокировать доступ только про протолку SMB. Апач это никак не затронет...

Кстати, если там уже есть апач - то можно общие папки и через него опубликовать, ибо как апач и ИИС вместе - я не знаю...

exo, а привязать к апачу ту же доменную авторизацию? ведь доступ "read only" к каждой папке должен быть только у её владельца в домене?