Всем добрый день.
Подскажите - можно ли ограничить доступ по сети к расшаренному ресурсу не по паре логин+пароль, а по тройке компьютер+логин+пароль? Т.е. например имеем в некотором домене пользователя pupkin, компьютер PC1 и сетевой ресурс share.
Надо дать к этому ресурсу share доступ пользователю pupkin, но при условии, что он в данный момент залогинен на компьютере PC1. Т.е. даже если я знаю пароль пользователя pupkin, я не смогу получить доступ к share ни с какой другой машины кроме PC1.
Можно ли такое организовать? А стандартными средствами win2003?

ИМХО - Сомневаюсь в возможности реализации подобной идеи стандартными средствами Windows 2003 Server.

А хотя бы не страндартными?

Не совсем то, что вам надо, но всё-таки довольно близко - в свойствах пользователя в Active Directory можно указать - с какого компьютера разрешён вход в домен. Т.е. получится ситуация, что пользователь Pupkin вообще сможет войти в сеть только с того компа, который вы укажите - такой вариант не подходит?

Если мне память не изменяет - для реализации сказанного xeel нужен WINS-сервер, так как разрешение на вход пользователя на рабочие станции с определёнными именами проверяется по NetBIOS-именам компьютеров.

Да и у него ещё узнать надо как у него сеть реализована - может там стандарт, чтобы каждый пользователь мог с любой станции заходить? Ждём комментариев создателя темы.

AD Users and Computers можно привязать юзера к одному компу, а дальше сделать для него разрешение на папку

wins сервер присутствует, пользователям разрешено входить с любой машины, но ни что не мешает лишить их этой маленькой радости
жизни :)
Вариант предложенный xeel частично проблему решает.
Частично потому, что, к сожалению, немного изменились исходные условия :(
доступ потребуется предоставлять сотрудникам удаленных офисов (связь через ADSL канал), при этом их машины находятся в рабочих группах и нет возможности включить их в домен, соответственно я не смогу сделать привязку их логинов к компу.
Но в пределах домена вариант xeel кажется решает проблему: по крайней мере нельзя будет запустить тот же самый total commander от имени pupkin и получить доступ к ресурсу share.

Установите практику смены пароля, а так же доведите до сотрудников через руководство, что будет, если его пароль узнает кто-то другой. Если же рук-ву пофиг, то и админу должно быть пофиг.

А еще как вариант - смарт карты или ключи доступа, то есть зная пароль, но не имея ключа (например eToken от Aladdin) нельзя будет получить доступ к ресурсам

Смарт карты или ключи доступа не подойдут - на это нужны деньги.
Смену паролей оформить можно, но крику будет, мама не горюй.
Т.е. получается такую схему реализовать нельзя? Или просто никто с этим не сталкивался.

В случае с удаленными компами ничего не сделаешь
Ну юзер ноут поменял, или выход в инет

Настрой подключение удаленных юзеров к серверу особым способом, и тогда, только совокупность паролей, логинов, пре-шаред кеев, сертификатов могут гарантировать некую "безопасность"

Хотя, кому надо, инфу узнает

Ждемс IPv6, когда траффик хоть как-то будет шифроваться...