Аутентификация пользователей в домене 2003
 

Здравствуйте.

Описание: домен 2003, лес 2003. На DC1 - DNS, DHCP, AD. На DC2 - DNS, AD. Сервера одинаковые в плане железа и версий ПО. Репликация + применение политики - 100%.
На DC1 есть файловый сервер (папки с правами).

Проблема: С доменного компа пользователь заходит на DC1 в те папки, куда ему предоставлен доступ (резрешения работают).
Когда пользователь с недоменного компа заходит через \\DC1.contoso.com - ему вылетает сообщение с запросом логина и пароля. Пользователь вводит свое имя пользователя и пароль, и получает доступ к любому доменному ресурсу.

Вопрос: как обойти с помощью политик безопасности домена такую возможность?

какую возможность ? чтобы с недоменного компа нельзя было вводить реквезиты? просто заблокируйте учётку в AD, которую используют при входе с недоменного компьютера.

Не то. Чтобы юзеры с недоменных компов не могли пользоваться ресурсами домена. Например Exchange, SQL, файловые шары и т.д.
Иначе получается: когда пользователь пытается получить доступ к какой-нибудь машине, ему вылетает окно с запросом имени и пароля. После того, как пользователь получил доступ к машинке, он может пользоваться ресурсами машинки (в данном случае шары).

Прим: в сети стоит DHCP, который выдает настройки IP и DNS серверов. При подключении любого компа или ноута, комп получает IP. Далее можно вбивать имя любой машинки, и авторизовавшись на ней, скачать на ноут всю инфу с файлового сервака, или любой другой машинки домена.

Учетку блокировать нельзя.

Делайте ДМЗ. И блокируйте из этой зоны доступ к тем ресурсам к которым они не должны получать доступ(какая то тавтология)... Можно это все сделать используя ISA Server.

Еще отключаете Гостя.
Доступ к ресурсам делаете на основе групп пользователей а не Domain users или что хуже для Всех пользователей.

А для мега секюрности можно использовать сетевое оборудование с портовой аутентификацией 802.1Х тогда доступ к физической сети можно вообще сделать на основе сертификатов. И не забываем про DMZ.

а кто пароли разглашает?
они не могут пользоваться ресурсами домена, пока не введут логин и пароль доменной учётной записи.
И если они авторизуются на сервер - значит кто-то им передаёт эти даные.
хотя может быть вариант - это один и тотже человек, с двумя компьютерами - в домене и не в домене.
Если убрать "Все" - то нектороые системные учётки не смогут в нужный момент получить доступ к шаре.
А вот права NTFS действительно лучше раздавать с помощью спец групп.

Господа, вы, похоже, немного не поняли сути вопроса. Придет человек с ноутом, введет СВОИ логин и пароль и, получив доступ, скачает нужные данные.
Решение - резервирование по МАС-адресам в DHCP, ИМХО.

Вариант, но сетка в 200 машин - это звучит как издевательство надо мной :)

На самом деле есть технология: наложить политики IPSec.
кому интересно: http://www.windowsfaq.ru/content/view/661/90/

Проблема в том, что сетка реально тупить начинает. Есть второй вариант, только разобраться не могу.
В политиках на Organization Unit: Computer Configuration\Windows Settnigs\Security Settings\Local Policies\Security Options\
Есть политики
Domain Member:....
Microsoft Network Client:....
Microsoft Network Server:....
Network Access:...
Хотелось бы найти описание для этих политик, а то ни русский ни английский переводы не дают точной картин

Есть еще вариант. В Домене имеется Enterprise Root Certification Authority. Можно распространять сертификаты по компам в домене, и скриптом проверять их наличие, но это тоже не вариант. Сертификат можно снять, и переместить в другое хранилище на недоменный ноут.

прим: в домене машинки только XP и Висты.

вы имееет ввиду доменные реквизиты?
решение - согласовывать с IT отделом подключение техники не находящееся на учёте в IT отделе.
А за подключение без согласования - штраф.
По МАС адресам - 200 компов ? имхо, проще DHCP откелючить и раздать статикой.

okamen, а почему у вас не все компьютеры в домене ?

и только что пришло самое простое решение: давать доступ не по пользователям, а по компьютерам.

можете по отдельности, а можете создать группы из компьютеров.

реквизиты доменные

У нас в кампании полная демократия. Хочешь комп в домен - пожалуйста, хочешь из домена - да ради бога. Кароче юзерам можно все. У них у всех админские права на машинах. (Есть программеры, которые ваяют проги в Visual Studio Team Foundation Server - им полюбой права нужны). Есть челы приезжающие из разных городов. У них висят учетки в домене и по ВПН подключаются даже с канады :) Кароче проблему нужно и можно решить программными способами :)

Я вот думал может radius поставить?

прим: Моя задача, предоставлять конечные сервисы пользователям, а не следить за кол-вом компов в сети и кто куда пересел. А наводить порядки с проводами и продавливать бумажки через начальство - это криво, и неоправданно для бизнеса. Кроме того локальная сеть используется для тестирования и разработки программно-аппаратных комплексов пром. характера. Кроме того, может просто юзер вайфай врубить и в инете посидеть полчасика - вариантов много, проблема не в этом.

Вам для начала нужно четко разобраться, что вы хотите защищать и от кого. А уж потом начинать думать как это сделать.
Не четко поставленная задача.

Задача поставлена крайне четко:

Запретить пользователям домена с недоменных компов пользоваться шарами на файл-сервере.

ну какой радиус сервер ??? у вас доменная сеть! управляйте ей.
но я надеюсь у них адмиских прав на домен? удаляйте их из локадминов !
вы мой рисунок видели?
назначаете права на шару: всем - чтение, computer_name$ - чтение, изменение - это даст доступ компьютеру на шару.
назначаете права NTFS: computer_name$ - изменение - это даст права на изменение содержимого только для этого компьютера.
т.к. у вас ДОМЕН - то выбора кроме доменных компов у вас не будет.

Радиус позволяет проводить проверку подлинности юзера - это не самое плохое решение на мой(и не только мой) взгляд.

Не переживайте, админских прав на домен нету. Нельзя юзеров удалить из лок админов.У меня 80 процентов юзеров знают как домен поставить или винду по крайней мере. Иначе мне придется жить в офисе, и ставить каждому асю, офис, архиватор....пускай сами ставят.....Если сами сломают винду....дак самим и переставлять. Я только приду и в домен загоню. Остальное - сами.

Майкрософт рекомендует ставить доступ на шары
Authenticated users - modify
NTFS
system, cretor owner - по умолчанию
администраторы - полный доступ
и группу пользователей из AD

аутентификация по компам - не лучшее решение.

Active Directory по вашему этого не умеет?
узнают как обойти вашу зашиту.
вы можете им дать права на домен. они сами себя добавят в домен. сможете на работу только за зарплатой приходить...
и чем оно вас не устраивает?
вы можете всё это уставить через GPO. и ПО само установится перед входом пользователя в систему.
также он рекомендует разделять полномочия пользователей и администраторов.

ОФФТОП дак ОФФТОП

С точки зрения бизнеса - AD - это всего лишь инструмент. Скажите, сколько человек на 100 компов обычно сидит в ИТ отделе? Задумайтесь, им ведь всем зарплату платить :)
Много ли директоров предприятий может сказать про своего админа - этот человек зарабатывает деньги для кампании, а не только экономит?

Кроме того, у меня есть VOIP телефония на АТС avaya налоговых Архангельской области (в районе 10 штук)+все каналы передачи данных, + вся их почта, маршрутизирующее оборудование, потоки, антенны ...и т.д. Кроме того есть туева куча левых заказчиков по настройке практически любого оборудования вплоть до видеостен, оповещения, видеонаблюдения и всяких инфраструктурных штучек. За это платят реальные деньги. Поскольку я этим занимаюсь, у меня нету большого количества времени сидеть в офисе.
Кроме того админские права нужны людям чтобы работать. Как можно заниматься написанием и тестирование программного обеспечения без админских прав? - ответьте мне пожалуйста!!! А этим занимается 50% сотрудников.

Насчет взлома защиты - много ли умников может сломать PKI с 1024 битным ключем, который меняется каждые 5 минут. Вы можете? Я - нет :)

Аутентификация по компам - майкрософт на экзаменах спрашивает: решите задачу с минимальными административными затратами :)


Мне реально решение надо, а не припираться - так, не так. Если вы не в курсе про такие технологии, то я как узнаю, обязательно сообщу.

okamen, Вам же было предложено решение DMZ. Чем оно Вас не устраивает? Пусть все сидят в админах на своих компах и делают что хотят. Но если машина не в домене, значит доступа к шарам нет.

1-2 администратора.
админ не должен зарабатывать деньги для предприятия (если само предприятие не IT). Админ - предоставляет возможность сотрудникам зарабатывать деньги.

Цитата:

Цитата okamen АТС avaya »

моя любовь... csi
вот для этого у вас и есть вот остальным 50 - можно их и убрать.

здесь спорить не буду - это уже ваша специфика.

У вас уже всё готово: есть список компьютеров в глобальном каталоге, нужно всего лишь пройтись по шарам и раздать нужные права.
вы можете назначить права на компы лишь на первую дерикторию. а дальше оставить как есть, но при этом не забыть отключить перекрёстную проверку.

если машина в дмз - то кроме своего дмз и инета она не увидет... а нужно всего лишь папки закрыть... мне кажется слишком серьёзный подход.
если машина в воркгруппе - тоже доступа нет, без реквизитов доменного пользователя.

вобщем, я своё мнение высказал - не устаривает, не нравится - буду рад узнать как вы решите данную задачу.

отвечу так же как и на technet - ipsec )

про ДМЗ - решение не лучшее, сервак висит на 2ГБит/сек - надо нехилое сетевое покупать чтобы такую скорость прокачать, + сам сервак нехилый. Учитывая что уже стоит HP DL360 G5 на SAS - это выйдут хорошие деньги (ISA St 2006 - стоит копейки, по сравнению с железом).

Хорошо. Допустим с шарами разобрались. Как в таком случае раздавать права на Exchange, Sharepoint, SQL, OCS2007, Virtual Machine Manager 2008 - там такое не прокатит. Еще есть сервера мониторинга телекоммуникационного оборудования. Я Это имел ввиду под большими административными затратами.

Предприятие занимается ИТ.

IPSec рулит, но тормоза по сетке.

кстати даже бухгалтерам нужны права админа для замены сертификатов в хранилищах на своих машинках :)
__________________
Definity S8500+Mera VOIP Gateway forever :)

самим эксченджем.
это уже другая история, и в начале разговора не упоминалась.

Цитата:

Цитата okamen кстати даже бухгалтерам нужны права админа для замены сертификатов в хранилищах на своих машинках »

есть такой анекдот: "у нас на работе работает бухгалтер-админ, так его вообще никто не понимает."

Цитата:

Цитата okamen Definity S8500+Mera VOIP Gateway forever »

у мну такого не было :(