Есть определенные конфиденциальные данные, и мы хотим убедиться, что они не будут скопированы пользователем и, в конечном итоге, утечкой из организации.
Для достижения того же мы определили ограниченную машину Windows, к которой пользователь может получить доступ, но никакие данные не могут быть приняты или удалены. Предполагается, что пользователи на этой машине имеют доступ к тем конфиденциальным элементам, которые не предполагается копировать.
Я ищу, чтобы определить подпути общего сетевого ресурса, чтобы он был доступен только с определенных компьютеров. Например, если пользователь A получает доступ к папке A в общем ресурсе с Рабочей станции-1, он должен получить отказ в доступе, но вместо этого, если он обращается к нему с Рабочей станции-2, он должен получить доступ.
Я использую среду, управляемую AD, с Windows Server 2016. Я смотрел в динамический контроль доступа, но не знаю, возможно ли это с ним.
--------Обновить---------
DAC (динамическое управление доступом) кажется правильным.
Я пробовал с этим, я смог построить условный доступ на основе пользовательских атрибутов / свойств. Но то же самое я не могу сделать на основе свойств устройства (претензии устройства).
Например, если я хочу создать условный доступ к пути к ресурсу, на основе описания устройства (компьютера) я могу подать заявку на него, но машина, с которой я получаю доступ, не может обработать заявку и просто отказывает доступ там, где это предполагается.
-------Обновить--------
Наконец, откажитесь от DAC, поскольку большинство доступных ресурсов рассказывает вам, как обращаться с жалобами пользователей, но вряд ли найдут какие-либо истории успеха по заявкам на устройства.
Чтобы достичь цели сохранения разных прав пользователей для разных машин, я создал клон общих ресурсов, которые синхронизируются с помощью утилиты robocopy. Правильное назначение нужно делать отдельно для каждой машины.
Пока работает нормально. Мне нравились цели ЦАП, но я не мог реализовать то же самое.