Назад | Перейти на главную страницу

Как ограничить доступ администратора по IP-адресу источника для любого протокола в Windows?

Я хочу убедиться, что административный доступ к контроллерам домена Windows разрешен только с определенных IP-адресов.

Примечание: Я имею в виду не только доступ по RDP, но и ЛЮБОЙ порт / протокол, который разрешает административный доступ: SMB, WMI, LDAP, ADSI и т. Д.

Большинство этих портов на контроллерах домена по умолчанию доступны для клиентских компьютеров. Поэтому я не могу установить IP-фильтры, чтобы заблокировать их.

Мне нужно решение на основе пользователей / групп, которое разрешает вход администратора только с определенного диапазона IP-адресов.

Как лучше всего это сделать?

Единственная идея, которая у меня есть, - это сделать скрипт, проверяющий некоторые события входа в систему в режиме реального времени и уничтожающий нежелательные соединения. Это не очень элегантно и не гарантирует мгновенную блокировку.

Это должно быть очень распространенной проблемой в больших сетях и многопользовательских средах.

Есть идея получше?