Права доступа к общим ресурсам в домене
 

Существует домен и пользователи домена (Microsoft Windows 2003). Не все рабочие станции входят в домен. Возможно ли ограничить доступ к общим ресурсам пользователям домена, вошедшим в сеть с рабочей станции, не зарегистрированной в домене, т.е. рабочая станция зарегистрирована в рабочей группе?

HHHH, раз пользователь домена, значит, и разрешения на ресурс отрабатываются применительно к пользователю домена. В чём проблема-то?

Проблема в следующем: К ресурсу должны иметь доступ все пользователи домена. На предприятии есть пользователи, которые сносят ПО лицензионное, установленное официально (эти рабочие станции всегда прописаны в домене) и устанавливают свое все, чего им пожелается. Политика предприятия такова, что пользователи не могут быть администраторами на своих рабочих станциях - отсюда и желание снести ОС. В домен сами они , как Вы понимаете, прописаться не могут. Но доступ к ресурсам имеют при наличии учетной записи пользователя домена.
Поэтому возникла необходимость выявлять таковых при помощи запрета доступа к сетевым ресурсам. То есть, ограничить права пользователю домена, который зарегистрировался с рабочей станции, не прописанной в домене.

Другими словами, один и тот же пользователь домена должен иметь доступ к ресурсу, если он зарегистрировался на рабочей станции, прописанной в домене и не иметь туда доступ, если он подключается к этому ресурсу с рабочей станции, не прописанной в домене.

HHHH, если машин в домене не много, то можно в свойствах пользователя, под которым происходит вход в сеть, прописать вход только с определенных компьютеров.

Если они в домен прописаться не могут, значит представляют собой какую-нибудь "рабочую группу".
1. Эту самую рабочую группу можно узреть в сетевом окружении, а потом определить их IP-адреса и MAC-адреса. По последним уже можно вычислить компьютер физически и больно ударить по премии лица, за которым тот комп закреплён....
2. Для каждого пользователя разрешить логин только с его собственного ПК. Делается это через настройки профиля на контроллере. Соответственно, пользователь, машина которого не в домене, войти не сможет.

Изолирование домена реализуется через политики IPSEC
статья на osp.ru: Применение IPsec для защиты сети

El Scorpio, Можно подробнее? Очень Вас прошу

Это только если компьютер в домене. С недоменной машины при доступе к общему ресурсу запрашивается логин и пароль пользователя, что не имеет отношения к тому, с какого компа идет запрос.
Бред сивой кобылы, а не организация. Запаролить биос, стикерами закрыть компьютер, отключить или убрать CD-DVD, отключить USB, и административный контроль.

monkkey, Круто! Но я не директор этой организации, к сожалению.
Все равно спасибо!
Запаролить биос - это хорошо, но ведь есть способ обойти и это. А что значит "стикерами закрыть компьтер"

Самоклеющаяся разрушаемая этикетка для контроля доступа
Я тоже не директор, но у меня всё это организовано.

amel27, Спасибо!
ТОлько надо тщательно разбираться, чем это может грозить

В домене есть группа "пользватели домена" разреши ей доступ к расшаренным папкам, а доступ типа"Все","гость" убери.
Если станция вошла в домен с учетной записью "пользователей домена"- доступ будет, если войдет как станция из другой рабочей группы- доступа иметь не будет...

Вы путаете учетные записи пользователей и членство компьютера в домене.
- будут запрошены логин и пароль ПОЛЬЗОВАТЕЛЯ домена, и, при правильных данных, доступ будет получен.