Я хочу убедиться, что административный доступ к контроллерам домена Windows разрешен только с определенных IP-адресов.
Примечание: Я имею в виду не только доступ по RDP, но и ЛЮБОЙ порт / протокол, который разрешает административный доступ: SMB, WMI, LDAP, ADSI и т. Д.
Большинство этих портов на контроллерах домена по умолчанию доступны для клиентских компьютеров. Поэтому я не могу установить IP-фильтры, чтобы заблокировать их.
Мне нужно решение на основе пользователей / групп, которое разрешает вход администратора только с определенного диапазона IP-адресов.
Как лучше всего это сделать?
Единственная идея, которая у меня есть, - это сделать скрипт, проверяющий некоторые события входа в систему в режиме реального времени и уничтожающий нежелательные соединения. Это не очень элегантно и не гарантирует мгновенную блокировку.
Это должно быть очень распространенной проблемой в больших сетях и многопользовательских средах.
Есть идея получше?