Я ищу способ предотвратить сетевой доступ к устройствам, не принадлежащим нашему корпоративному домену Active Directory.
Некоторые люди подключают свои персональные ноутбуки к нашей корпоративной сети, а некоторые из них непреднамеренно создают проблемы.
Я уже использую политику DHCP, чтобы дать им отдельное DNS-имя (aliens.contoso.com), что позволяет мне быстро увидеть, подключено ли такое устройство (я просто смотрю на консоль DNS). Эта политика активируется, если клиент не принадлежит к нашему домену contoso.com.
Проблема с этим методом заключается в том, что нежелательный ноутбук отлично исправляет настройки IP, поэтому пользователь может его использовать.
Это позволяет иметь только отдельное DNS-имя. Я не могу указать другой маршрутизатор или неиспользуемый IP-адрес.
Мы бы хотели назначить этим ноутбукам непригодные для использования IP-настройки. Таким образом, пользователи не будут пользоваться им или звонить нам. Это позволит нам следить за чистотой ноутбука и давать указания пользователям.
Конечно, они могут вручную ввести правильные настройки, но немногие из наших пользователей могут это сделать, и это значительно уменьшит проблемы.
Я не планирую принудительно использовать доступ к сети с помощью 802.1X. Я знаю, что метод DHCP слабее.
Я думаю, что мы можем сделать это с помощью Network Protection Server (мы используем Windows 2012 R2 для нашего сервера), но я не понял, как.
Короче: вы не можете
Чтобы DHCP-сервер узнал, находится ли устройство внутри домена, он должен связаться с контроллером домена, поэтому сначала у него есть IP-адрес.
Вот почему нужные настройки выделены серым цветом.
Уловка может заключаться в том, чтобы назвать свой компьютер специальным префиксом. Затем сервер DHCP может обнаружить это, когда компьютер откажется от аренды DHCP. Таким образом, желаемый вариант будет доступен (не выделен серым цветом).
Обычный способ сделать это - аутентификация 802.1X, но вы сказали, что не хотите этого делать. NPS используется с 802.1X, поэтому, если вы не собираетесь его использовать, вам не будет много пользы от NPS.
Единственный другой способ, который я могу придумать, - это использовать VLAN на основе портов (не 802.1q), чтобы переместить все неиспользуемые сетевые порты (которые могут быть «гостевыми» портами) на другой vlan, добавить DHCP Helper в эту VLAN и перенаправить запросы DHCP на ваш сервер 2012 R2 и выдать им другую подсеть / шлюз / и т. д. Или вы можете направить их к захваченному порталу. Или вы могли бы просто не выдавать им IP-адрес и не иметь шлюза.