iT邦幫忙

0

請問如何限制沒有登入AD網域的電腦無法存取伺服器的資源??

zuyan 2011-07-12 13:52:5916472 瀏覽

目前是使用 Windows 2003 AD,是否可以讓沒有登入網域的使用者不要使用網芳然後打了帳號密碼就可以可存取伺服器的資料。

player iT邦大師 1 級 ‧ 2011-07-12 15:22:15 檢舉
關掉Guest帳號呢?
zuyan iT邦好手 1 級 ‧ 2011-07-12 22:19:09 檢舉
是要限制member(就是有帳號的人)
使用自己的NB 透過網芳 將公司的資料COPY到自己的Notebook..
而且Guest的帳號本來就是關閉的啊!!
2
花輪
iT邦大師 1 級 ‧ 2011-07-12 19:12:09

zuyan提到:
沒有登入網域的使用者

C大PO的連結內容好像跟原PO的題意有點差距...疑惑

「沒有登入網域的使用者」可以用網芳連進AD(輸入AD帳號),既然有AD帳號,他的PC(NB)就應該要join AD才對,除非是用自己的電腦,以資安角度來看,這應該禁止!

再來,「存取伺服器的資源」的伺服器指的是 FILE SERVER、DATABASE...等,還是指 DC? 這兩者的狀況不同,若是AP..等資源都在 DC 上,那也不應該,該優先解決一下(我知道,這要錢!)

建議版大再把您的意思說清楚一點...沙發

zuyan iT邦好手 1 級 ‧ 2011-07-13 10:01:37 檢舉

「沒有登入網域的使用者」可以用網芳連進AD(輸入AD帳號),既然有AD帳號,他的PC(NB)就應該要join AD才對,除非是用自己的電腦,以資安角度來看,這應該禁止!

是這樣子沒錯...因為要防止資料COPY到其他不受管制的電腦上
除了在L2/L3 Switch hub可以管制MAC,那如果使用一般沒有網管功能的HUB要如何使用AD管理??

4
Tony
iT邦高手 4 級 ‧ 2011-07-12 21:26:02

基本上, 因為未加入網域, 那便非Domain Users的member, 所以只要將分享的資料夾權限, 不要加everyone就可以了。
但板大的意思中, 似乎是該使用者也有domain account, 如果是這樣, 可以限制那些使用者帳戶只能在某些電腦登入, 應該就可以解決板大的問題。

看更多先前的回應...收起先前的回應...
zuyan iT邦好手 1 級 ‧ 2011-07-12 21:58:12 檢舉

當然要限制Domain User經由未加入網域的電腦透過網芳存取AD伺服器的檔案資料
因為內部有一些筆電是未加入網域的~~
為防使用者拿了筆電透過網芳把資料COPY走...
小弟不才~~~請明示~~~

fantsyss iT邦新手 2 級 ‧ 2011-07-13 08:36:07 檢舉

限制user只能入某電腦是不是就可以了,用電腦名稱去限制。(這個好像漏洞還是很大)

這有點難防,除非有做監控,可以監控某台電腦抓了什麼檔案。

zuyan iT邦好手 1 級 ‧ 2011-07-13 10:06:14 檢舉

認為還是朝向file server的權限管控會來得有效

目前已將可以漏的東西一一鎖住了..
EXP:禁止使用網際網路/USB 等設備

老大不願意投資文件權限控管軟體.....

Tony iT邦高手 4 級 ‧ 2011-07-13 10:17:01 檢舉

其實, 也不用另外投資"文件管理"的軟體, 對於內部文件的權限控管, AD應足以應付;例如: 設定某資料夾, 某些人或群組, 只能讀, 不能改/寫/刪; 或連讀都不行, 那就不能copy了。建議, 所有的權限均以群組的方式指定, 這樣才不會因某些人職位的調動, 而花很多時間去調整該員的權限。以上, 謹供參考!!希望能有一點點的幫助。

zuyan iT邦好手 1 級 ‧ 2011-07-13 16:17:24 檢舉

上頭就是怕連他有權限的資料都COPY走...
文件權限控管軟體 < 我指的是加密 ~~~~~~

花輪 iT邦大師 1 級 ‧ 2011-07-14 14:24:30 檢舉

zuyan提到:
上頭就是怕連他有權限的資料都COPY走..

這樣真的是防不勝防!
大概只能用「稽核」的方式來追蹤了吧...

2
michaelwan
iT邦高手 1 級 ‧ 2011-07-13 10:00:24

windows 的常見登入類別有 2.互動 3.網路 4.批次 5.服務.
目前小弟知道的只有用802.1x 進行電腦帳戶驗證可能達到相似的功能.
不過 1.加入網域電腦, 但登本機帳戶無解.
2.windows內建的驗證功能不好用, 看有沒有3rd party solution可以用.

花輪 iT邦大師 1 級 ‧ 2011-07-14 14:22:54 檢舉

一般的 HUB 沒有 802.1x...

2
davidliu9116
iT邦研究生 3 級 ‧ 2011-07-13 11:23:13

試試看
1.在DHCP上給每台電腦配固定IP
2.鎖每個帳號可登入的電腦
3.來賓電腦與內網區隔開

絕招:架個加密伺服器檔案離開公司就沒用

zuyan iT邦好手 1 級 ‧ 2011-07-13 16:14:34 檢舉

1.現在就固定IP / DHCP關了也沒用
2.重點是有其他的電腦會連上..
3.與實況有問題

我也很想~~~老板不願投資...
想問..有免費的方案嗎??

2
fantsyss
iT邦新手 2 級 ‧ 2011-07-13 21:02:13

俗話說千防萬防..家賊難防..再怎麼防也沒用..既然用了那個員工..應該是要用人不疑..疑人不用..

我還是建議假如真的怕的話還是找監控軟體吧。

樓主假如是主要用意限制使用者拿著自己的筆電用網芳連線到檔案伺服器將資料copy到筆電上的話,請試試下面的方法吧,能夠區隔內外網。當登入來賓時只能進外網,也不能用自己的筆電登入內網。
1.802.1X加上DHCP Relay & option82
2.機上電腦鎖MAC加上鎖電腦名稱

看更多先前的回應...收起先前的回應...
zuyan iT邦好手 1 級 ‧ 2011-07-14 20:12:40 檢舉

由於目前沒有分內外網...
如果USER自己設定IP位址..這招是否也會無用呢??

至於老板要不要防再請難防的家賊..這不是我能決定的~~

fantsyss iT邦新手 2 級 ‧ 2011-07-15 12:33:59 檢舉

可以把IP用過濾器鎖住呀。

zuyan iT邦好手 1 級 ‧ 2011-07-17 12:17:48 檢舉

那是不是HUB也是需要支援 802.1X 的協定呢??還是使用一般的HUB即可!!

fantsyss iT邦新手 2 級 ‧ 2011-07-17 18:49:47 檢舉

是的要支援802.1X功能...現在好一點的Switching Hub應該都有支援了吧

zuyan iT邦好手 1 級 ‧ 2011-07-18 17:03:43 檢舉

請問有802.1x相關的教學資料嗎??
另外在支援802.1X的HUB 上需要另外設定嗎??

fantsyss iT邦新手 2 級 ‧ 2011-07-19 12:40:46 檢舉

至於要如何設定及使用,建議可以問januslin(門神)大大。
802.1X跟Dhcp relay & option82 Switch都要支援,不然會沒法用。
802.1X可以使用radius server或者有win2003的話用IAS Server(win2008以上的話改叫NAP)

zuyan iT邦好手 1 級 ‧ 2011-07-19 13:56:14 檢舉

fantsyss感謝您
不過這看起來有些複雜,這個部份可以先架個LAB先試再實裝
另外由L2/L3的HUB去鎖MAC也是可行的,可以擋擋小員工還有應付大老闆
可是發問了,叫我看手冊,竟然問Dlink也回了說.看手冊...就是看不懂才要問啊
這部份請問你知道如何設定嗎?? Dlink DES-3028

這位施主,只有你能救你自己
Tyr Error

打錯字不能刪 XD

Try Error

打錯字不能刪 XD

Try Error

fantsyss iT邦新手 2 級 ‧ 2011-07-19 18:00:56 檢舉

我沒用過D-LINK的,我們家是用居易的....

2
itjen
iT邦新手 3 級 ‧ 2011-07-17 16:49:54

我依上述修改了本機原則的本機登入及使用終端機服務登入後,
我的User無法通過VPN連線登入,卡在驗證失敗.
於移除後, 回復成<尚未定義>,
一樣無法登入.
但,只有我的帳戶一直都可以,
請問哪位大大,可以幫忙解惑,謝謝!!
VPN驗證失敗,還有哪些地方需要查看的??

0
nick0819
iT邦新手 4 級 ‧ 2013-03-06 09:29:28

1.如果環境已用固定IP,非DHCP,家賊又會自己設定IP
2.在AD設定帳號只能登入哪些電腦(理論上用這招就算家賊有AD帳號也可以檔了)
3.如果2還是不行,從網路方面下手,請下載手冊@@
http://www.dlink.com/fr/fr/support/product/-/media/Business\_Products/DES/DES%203052/Manual/DES%203052\_CLI\_Manual\_EN\_FR.pdf
在176頁的地方..(不過前提是家賊不會一直換IP搖頭)

0
pis520
iT邦新手 3 級 ‧ 2017-10-10 23:05:32

我最近遇到相同的問題,用戶本身有DOMIN ACCOUNT(公司內部人員),公司電腦都有加入網域,但相對的也有本機可以使用,有人不想每次都要登入,所以就登入本機使用,一來不受GPO限制、管制,二來要登入伺服器取得資料時,只要打一次帳密就可以取得資料...
請問要如何設定GPO【才能拒絕電腦在沒有登入網域,就算打帳密也無法存取伺服器的資料檔案】。
謝謝!!

我要發表回答

立即登入回答