Локальные пользователи и домен
 

1. В AD создана учетная запись TEST с паролем 123456789, далее с рабочей станции не входящий в ДОМЕН пытаемся войти в домен Name_Domain, по имени хоста, запрашивается логин и пароль это все нормально, вводим логин: TEST
пароль: 123456789
смотри расшаренные ресурсы видим: netlogon, sysvol - это папки созданые при поднятии домена.
Вопрос 1. Почему учетную запись TEST впустило в домен, хотя машина не зарегистрирована в домене. Вводить нужно было TEST@Name_Domain? вот только после этого, учетгная запись должна была попасть в домен.
Вопрос 2. Каким образом настрпоить в политике безопасности, так чтобы: если рабочая станция не входит в домен, чтобы, ее не пускало под учетной записью TEST@Name_Domain. Ну или так, нужно чтоб все кто подключал кампутер в ЛВС, не входящий в ДОМЕН, не мог пользоваться сетевыми ресурсами.
Ну кроме, как поднятия IPSEC, можно что нить еще предложить?



2. если даже ПК зарегистрирован в домене, но пользователь входит локально на кампутер и пытается воспользоваться сетевыми (расшареными) ресурсами, у него всплывает табличка типа ввести логин и пароль, если ввести (1 вариант) login - TEST passw - 123456789 ТО ЕГО НЕ ПУСКАЕТ на расшаренные ресурсы,(2 вариант) а если ввести login - TEST@namedomain passw - 123456789 ТО ЕГО ПУСКАЕТ и это нормально, все сделано стандартными средствами сервера и все по умолчанию, при поднятии домена. Но у меня работает как 1вариант , так и 2 вариант, Подскажите как сделать, так чтоб робил тока 2 вариант. Облазил все политики, нечего не нашел.
Спасибо

не факт, я всегда вхожу без @domain.name
dany all к примеру. или выключите его от розетки ЛВС.
хм... IPsec используется для шифрования трафика в ВПН сетях. при чём тут он? если я не прав - поправьте.
т.е. машина ещё в WORKGROUP-е ?

в первый раз когда ты коннектишся к шаровым ресурсам то передаёш логин\парольчик и контроллер проверяет наличие такого у себя в базе. и находит. а что не так? данные аутентификации не привязаны к машине. т.ч. зайти зарегистрированному в домене пользователю не проблема с незарегестрированного ПК.

во втором варианте что то не так. т.к. у меня можно как и в первом варианте подлючиться к контроллеру без передачи имени домена(зайдя при этом на машину под локальной учёткой). т.е. не указывая в каком иммено домене зарегестрирован пользователь. просто передав логин\пароль. возможно у тебя не один домен в сети или ты являешся чьейто дочерью.) потому нужно обязательно передать имяДомена\логин\пароль.

на тот случай если ты хочеш чтоб незарегестрированные ПК не смогли подключиться к контроллеру тогда можно попробовать следующие(я сам не пробовал но пред-положу) в ПолитикеБезопасностиКонтроллераДомена-ПараметрыБезопасности-ЛокальныеПолитики-НазначениеПравПользователей есть параметр ДоступКкомпьютеруИзСети. там указано кто может подключиться к контроллеру из сети. одним из параметров явл. группа\пользователь "Все". это сделано для того чтоб незарегестрированные ПК можно было вводить в домен не создавая учётки ПК предварительно. если убрать "Все" и добавить "Компьютеры домена" тогда на основании этой политики к контроллеру можно будет получить доступ если(в моём случае) ты состоиш в следующих группах:
1 - PDC\IWAM_nameMyDomain.
2 - администраторы.
3 - Компьютеры домена.
4 - контроллеры домена предприятия.
5 - пред-Вин2000 доступ.
6 - прошедшие проверку.

я не знаю порядка просмотра записей в этом параметре. мот кто подскажет? предположу что снача проверяется машина потом пользователь. проверить это можно только экспеременом( ну или кто знающий подскажет.) )

метод проверки:
если ты на ПК не входящем в группу КомпьютерыДомена тогда тебя не должно пустить вообще даже если ты администратор или прошедшый проверку, иначе не имеет смысла добавлять сюда учётку КомпьютерыДомена т.к любой прошедший проверку т.е. зарегестрированный пользователь сможет с любого ПК зайти на контроллер. т.е. имеем что имели.
нужен эксперемент.)

нет. он используеться не только в ВПН(протокол L2TP в частности.РРТР IPsec не использует) но и при передаче любого траффика в сети локальной или глобальной. с его помощью можно защитить любой траффик выше третьего уровня модели OSI.

з.ы. учти я не проверял то что изложил. делай это на свой страх и риск.)

exo

т.е. машина ещё в WORKGROUP-е ?

Да машина еще в WORKGROUP-е

wertyg

во втором варианте что то не так. т.к. у меня можно как и в первом варианте подлючиться к контроллеру без передачи имени домена(зайдя при этом на машину под локальной учёткой). т.е. не указывая в каком иммено домене зарегестрирован пользователь. просто передав логин\пароль. возможно у тебя не один домен в сети или ты являешся чьейто дочерью.) потому нужно обязательно передать имяДомена\логин\пароль

Домен 1, дочерним не является, а поповоду

1 - PDC\IWAM_nameMyDomain.
2 - администраторы.
3 - Компьютеры домена.
4 - контроллеры домена предприятия.
5 - пред-Вин2000 доступ.
6 - прошедшие проверку.


убрал еще и 6 пункт, так как 5 - пред-Вин2000 доступ, почти то же самое

спасибо, что поправил.
странно, если машина в WORKGROUP-e то как она лезет в АД для аунтификации?

exo

странно, если машина в WORKGROUP-e то как она лезет в АД для аунтификации?

первый абзац wertyg

в первый раз когда ты коннектишся к шаровым ресурсам то передаёш логин\парольчик и контроллер проверяет наличие такого у себя в базе. и находит. а что не так? данные аутентификации не привязаны к машине. т.ч. зайти зарегистрированному в домене пользователю не проблема с незарегестрированного ПК.

Разясняю.
Внимательно изучите принципы постраения авторизации в вындов и доменах.
1) Разлечаються уровни акторизации на доступ к ресурсам машины (притеры, шаринги, RPC) и разлечаеться участи в струкре AD.
2) Реализация авторизации в домене для случая с шарами отличаеться от компа stadalone только тем что в домене для хранения используеться LDAM а у отдельного компа NTLM
3) механизм авторизации для шар такой.
COMP1 -> я к тебе ->COMP2
COMP1 <-ты кто<-COMP2
COMP1 ->вася,пароль "стой стреляю"->COMP2
дале если знает то пускиет если нет то нет. И далеле начинаються более интересные механизмы. Теперь нюансы, при
1) запись вида test@"что то тут" или "что тут"\test просто дает понят в какой базе искать данного пользователя (внимательно читайте про доверительные отношения) "что тут" может быть именем кома, именем домена. т.е. явное указание в каком месте искать пользователя. если это не указана то используеться база по умолчанию - для компа в домене это LDAP, для отдельного компа локальная база. Т.е. если пользователь test есть в домене и его нет в базе локального отдельно стоящего компа то проблем не возникнет. Другой вопрос что в этом режиме он получит доступ только на уровне на котором получилбы стучас также к отдельному компу (т.е. не получая билетика керберос и т.д.)
это ответ на 1 вопрос.
на второй надо понять что вы подразумеваете - не пускалоб - если иметья вход в AD то его и так не происходт если на доступ к шарам - :) перекрыв его вы перекроете себе возможностсть воодить компы в домен. Да и тактично ли это ели пользователь авторизован в домене то он и так имеет доступ к нужной ему инфе, и если вам разница с кого компа он полул этот доступ?

KobaLTD

По п.2 Если я логинюсь на ресурсы DC то достаточно вводить только логин, если же я логинюсь к ресурсам любого компа, входящего в домен, но не к DC, то обязательно добавлять имя домена, например, как в моем примере TEST@namedomain. Разобрался.
А точно что мне нужно это NAP от MS, но это реализовано в Windows Server 2008

почемуто я привязал эту фразу к контроллеру. иначе всё как сказал KobaLTD,
хотя по идее ПК в домене, к которому коннектятся, должен по умолчанию использовать контроллер для проверки.

а идея fedor2, заключаеться в том чтоб машины не авторезированные не получали доступ к шарам контроллера даже если на них работают существующие в домене пользователи. это я так понял. вроде как это повышает безопасность. нельзя нампример принисти ноут из дому и подкл. к шарам слить инфу легальному сотруднику.

не смог понять эту строку:
а чтоб добовлять компы в домен рекомендуют предварительно добавив их учётки в АД. только после этого вводить в домен сам ПК. если так то мы не нарушем правило из политики.

ты злодей.)
это значит что любой но только зарегестрированный пользователь сможет получить доступ. убрав эту запись ты тем самым запретиш вход для всех пользователей домена! верни назад.)
а вот 5п. - есть ли у тебя винды до 2000? если нет, то он тебе не пригодиться.

отпешись о результатах.

fedor2,
Еще можно сделать привязку пользователей к комьютерам, если это возможно и целесообразно в вашем случае.