Моя компания использует Windows Server 2008 R2 для контроллера домена и обмена файлами, и на всех клиентских компьютерах установлена Windows 7 Professional. Некоторые из клиентских компьютеров добавляются в домен, предназначенные для доступа к общим ресурсам для совместной работы, в то время как другие клиентские компьютеры не добавляются в домен для других целей. И компьютеры домена ограничены доступом в Интернет программным брандмауэром. У каждого из сотрудников есть собственная учетная запись пользователя домена + пароль, и когда он входит на клиентский компьютер домена, он может получить доступ к общим файлам (например, \ domain_ip_address \ folder_sharename) с помощью «сопоставления сетевого диска» или «добавления сетевого расположения», с его собственными разрешениями, указанными на сервере.
Что касается конфигураций разрешений, насколько я понимаю, разрешения общего доступа и разрешения NTFS работают вместе, чтобы определить конечные разрешения: действуют более строгие. Поэтому я, следуя общему совету, дал папке общие разрешения Все: Полный доступ и соответствующие разрешения NTFS для каждой учетной записи пользователя домена.
Казалось, все идет очень хорошо. И я ошибочно подумал, что если компьютер не будет добавлен в домен, он не сможет получить доступ к общим ресурсам домена.
Несколько дней назад на компьютер вне домена, Я попробовал «сопоставить сетевой диск» и «добавить сетевое расположение», мне было предложено ввести учетные данные, и я предоставил одну из учетных записей пользователей домена в форме «имя_домена \ domain_user_account» + «пароль», и я получил доступ к общему ресурсу папка успешно, и я был шокирован.
Моя цель - разрешить доступ к общим ресурсам домена только компьютерам, добавленным в домен. Затем в настройке разрешений общего доступа к папке я удалил Все: полный контроль, и добавил Компьютеры домена: полный доступ. Но результат таков: даже на компьютерах домена учетные записи пользователей домена не могут получить к ним доступ, даже учетные записи пользователей домена, которые имеют полный контроль над разрешениями NTFS.
Мои вопросы:
1. Кто-нибудь может сказать мне, почему я получил такой неожиданный (по крайней мере для меня) результат? то есть: Почему общие разрешения Компьютеры домена: Полный доступ запретить даже пользователям домена с полным контролем разрешений NTFS, использующим компьютеры домена, доступ к общим ресурсам? Кто-нибудь когда-нибудь использовал Компьютеры домена в разрешении share или NTFS успешно?
2. Как я могу улучшить? Я не надеюсь, что моя текущая настройка сервера станет серьезной проблемой.
--------------------- обновление 2015-10-28 ----------------------- --------------------
Позвольте мне подробнее рассказать о настройке двух моих серверов. Честно говоря, я не ИТ-специалист, и 2 сервера построил мой друг. Оба они были установлены с Windows Server 2008 R2.
Первый, скажем server_A, действует как контроллер домена, DHCP-сервер и хранит файлы для совместного использования.
Второй, скажем, server_B, действует как DNS-сервер и устанавливается вместе со шлюзом Threat Management Gateway 2010 (TMG2010) в основном для управления клиентским устройством, имеющим доступ в Интернет.
Общие файловые ресурсы проверяются в пространстве пользователя, а не компьютера.
Таким образом, любая запись о компьютере, которую вы вводите, игнорируется, но поскольку ни один пользователь не получил доступа к общему ресурсу, так как вы оставили только компьютер домена, это означает, что никто не может получить доступ к общему ресурсу. (как я уже сказал, учетная запись компьютера игнорируется в общей папке)
Почему так сделано? Каждый файл принадлежит пользователям, а не компьютеру. Это по дизайну. Представьте себе, как вы проводите аудит, кто что сделал? Было бы невозможно (как в примере SOX404)
Важно установить надежный пароль для каждой учетной записи пользователя.
С другой стороны, вы можете ограничить DHCP, переключить с некоторым контролем, чтобы убедиться, что только присоединенный домен может получить IP. Поскольку ваш риск намного больше, чем то, что вы сказали, как если бы зараженный компьютер только что подключился к вашей локальной сети, даже без открытого общего ресурса, ущерб будет намного хуже.
Итак, последний совет: контролируйте, что подключено, и даже проверяйте свой DHCP, чтобы убедиться, что не подключено какое-либо мошенническое оборудование, и если вам нужно предоставить доступ к компьютеру, не присоединенному к домену, подумайте о другом vlan для гостя.