[El Scorpio]

Цитата mcmurphy:

Ведь учетки компа из рабочей группы в АД нет. »

Вообще-то "учётки компов" используются очень редко. Например, в правилах безопасности групповых политик, чтобы они применялись только к определённым компьютерам.

А доступ к файлам в основном определяется списком пользователей. Более того, любую сетевую папку можно подключить с компьютера, используя логин вида "domain\username". Разве что это не прокатит при работе в сеансе доменного пользователя, потому что система не позволит одновременные подключения от имени разных пользователей (будет активным только подключение от пользователя домена, вошедшего в систему).
Зато пользователи компьютеров вне домена (а также локальные пользователи доменных компьютеров) легко могут использовать сетевые папки сервера.


Самая очевидная возможность ограничить использование доменных профилей со "сторонних" компьютеров - задать в параметрах пользователя перечень компьютеров, с которых может быть осуществлён вход в систему.
Но и здесь засада - перечень использует символьные имена NETBIOS, а значит:
1) для каждого пользователя нужно будет перечислять вручную все дозволенные компьютеры (в пределах отдела и т.д.)
2) после переименования компьютера придётся вручную править параметры.
3) злоумышленник может назначить своему компьютеру такое же имя (и доменный суффикс) без ввода компьютера в домен.

Если более опытные товарищи опишут лучшие способы ограничения безопасности (с привязкой объектов доменных пользователей к объектам доменных компьютеров), скажу им "большое спасибо"