У меня есть сеть, содержащая смешанную коллекцию компьютеров домена Windows и компьютеров рабочей группы.
В настоящее время компьютеры рабочей группы могут получать доступ к общим папкам и файлам, размещенным на компьютерах домена, если пользователь при подключении предоставляет действительные учетные данные домена. Мне нужно сделать это невозможным.
Есть ли способ обеспечить выполнение требования о том, чтобы клиентские компьютеры были членами домена, прежде чем предоставить им доступ к общим сетевым ресурсам домена?
Контроллер домена работает под управлением Windows Server 2016 Standard.
То, что вы хотите, называется «изоляцией домена». Это немного сложно реализовать.
Ключевым элементом изоляции домена является набор правил безопасности соединения в брандмауэре Windows, распространяемый GPO, который заставляет членов домена проходить аутентификацию перед принятием соединений. Я советую сначала поэкспериментировать в лаборатории: легко получить «большую изоляцию» и в итоге получить домен или машины, которые вообще нельзя использовать. Я был там, к счастью, в лаборатории ...
Информации о изоляции домена много. Вы можете начать читать здесь: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/domain-isolation-policy-design-example
У меня была похожая ситуация несколько лет назад, и я помню, что решением было заблокировать компьютеры с помощью брандмауэра. Я не помню, отказал бы я в доступе к определенным адресам / диапазонам [при входе на порт 445] или предоставил бы доступ к определенным адресам / диапазонам и запретил бы все остальные. Но я помню, что делал это с брандмауэром, а не с разрешениями или политиками. Итак, взгляните на брандмауэр, если вы немного поиграете с ним, вы сможете заставить его работать.