Я пытаюсь создать систему, в которой доступ к определенным ресурсам (общим файловым ресурсам) в Windows Server ограничен не только именем пользователя (в домене Active Directory), но и клиентским компьютером. Пока я не нашел хорошего способа сделать это; добавление учетной записи компьютера в DACL явно не способ сделать это.
Windows Server 2012 поддерживает это с помощью динамического контроля доступа, но этот метод требует, чтобы все клиенты были под управлением Windows 8, без возможности использовать это с клиентами Windows 7.
Есть ли поддерживаемый способ сделать это? (или, в качестве альтернативы, добавьте поддержку авторизации устройства в Windows 7).
Нет встроенных функций, позволяющих делать то, что вы хотите, до динамического контроля доступа (DAC). Лучшее, что вы собираетесь получить, - это выделить файловый сервер и использовать какие-то функции брандмауэра для ограничения доступа к этому серверу «авторизованным» машинам (и даже в этом случае вы действительно полагаетесь на машину, имеющую правильный сетевой адрес).
Я предполагаю, что другим методом, все еще сетевым, будет настройка выделенного файлового сервера для доступа только через IPSEC и использование компьютерных сертификатов, развернутых на «авторизованных» машинах, для передачи ключей IPSEC.
Ответ Microsoft - DAC. Учитывая это, вы не найдете очень чистого решения вне DAC.