в первый раз когда ты коннектишся к шаровым ресурсам то передаёш логин\парольчик и контроллер проверяет наличие такого у себя в базе. и находит. а что не так? данные аутентификации не привязаны к машине. т.ч. зайти зарегистрированному в домене пользователю не проблема с незарегестрированного ПК.
во втором варианте что то не так. т.к. у меня можно как и в первом варианте подлючиться к контроллеру без передачи имени домена(зайдя при этом на машину под локальной учёткой). т.е. не указывая в каком иммено домене зарегестрирован пользователь. просто передав логин\пароль. возможно у тебя не один домен в сети или ты являешся чьейто дочерью.) потому нужно обязательно передать имяДомена\логин\пароль.
на тот случай если ты хочеш чтоб незарегестрированные ПК не смогли подключиться к контроллеру тогда можно попробовать следующие(я сам не пробовал но пред-положу) в ПолитикеБезопасностиКонтроллераДомена-ПараметрыБезопасности-ЛокальныеПолитики-НазначениеПравПользователей есть параметр ДоступКкомпьютеруИзСети. там указано кто может подключиться к контроллеру из сети. одним из параметров явл. группа\пользователь "Все". это сделано для того чтоб незарегестрированные ПК можно было вводить в домен не создавая учётки ПК предварительно. если убрать "Все" и добавить "Компьютеры домена" тогда на основании этой политики к контроллеру можно будет получить доступ если(в моём случае) ты состоиш в следующих группах:
1 - PDC\IWAM_nameMyDomain.
2 - администраторы.
3 - Компьютеры домена.
4 - контроллеры домена предприятия.
5 - пред-Вин2000 доступ.
6 - прошедшие проверку.
я не знаю порядка просмотра записей в этом параметре. мот кто подскажет? предположу что снача проверяется машина потом пользователь. проверить это можно только экспеременом( ну или кто знающий подскажет.) )
метод проверки:
если ты на ПК не входящем в группу КомпьютерыДомена тогда тебя не должно пустить вообще даже если ты администратор или прошедшый проверку, иначе не имеет смысла добавлять сюда учётку КомпьютерыДомена т.к любой прошедший проверку т.е. зарегестрированный пользователь сможет с любого ПК зайти на контроллер. т.е. имеем что имели.
нужен эксперемент.)
Цитата exo:
|
хм... IPsec используется для шифрования трафика в ВПН сетях. при чём тут он? если я не прав - поправьте. »
|
нет. он используеться не только в ВПН(протокол L2TP в частности.РРТР IPsec не использует) но и при передаче любого траффика в сети локальной или глобальной. с его помощью можно защитить любой траффик выше третьего уровня модели OSI.
з.ы. учти я не проверял то что изложил. делай это на свой страх и риск.)
