запретить доступ к файловым серверам и ПК в домене - гостевой пользователь

Предполагая, что у вас есть не предоставил Все объектный доступ к любым ресурсам, вы можете просто создать локальную учетную запись на компьютере (ах), который будет использовать гость. Они входят в систему на компьютере (ах) с этой учетной записью, и они даже не вошли в домен, поэтому по умолчанию у них нет доступа к каким-либо ресурсам домена.

Если вам необходимо использовать учетную запись домена, создайте новую учетную запись домена и новую группу безопасности домена (вы можете назвать ее как-то вроде «Гостевые пользователи») для этой учетной записи. Добавьте учетную запись в группу, установите новую group в качестве основной группы пользователя, а затем удалите пользователя из Пользователи домена группа. Теперь пользователь не должен иметь доступа ни к чему в домене, опять же при условии, что вы не предоставили доступ ни к чему для Все объект, потому что в прошлом никто не мог предоставить доступ к чему-либо новому пользователю или группе.

Если вы предоставили доступ к чему-либо для Все, или у вас есть основания думать, что Все может иметь какие-либо права доступа к любым ресурсам, тогда вам нужно запустить это и исправить. Один объект, который вы почти всегда можете использовать вместо Все является Пользователи домена, потому что, как правило, каждая учетная запись домена является членом Пользователи домена (если учетная запись не была специально удалена, как описано выше). Обратите внимание, что вам не следует изменять разрешения для ресурсов, которые ваши пользователи используют в рабочее время, так как они могут быть лишены доступа в результате ваших изменений до тех пор, пока они в следующий раз не войдут в систему и не получат токен безопасности. В идеале у вас должны быть под рукой несколько опытных консультантов, которые помогут вам с таким изменением разрешений, поскольку очень возможно случайно либо запретить пользователям доступ к важным ресурсам, либо предоставить пользователям доступ к конфиденциальной информации.

Если компьютеры никогда не будут использоваться штатным персоналом для доступа к домену, вы можете выделить компьютер (ы) для гостевого доступа и даже не присоединять их к домену. Наконец, окончательное разделение для гостей будет заключаться в том, что компьютер (ы), о котором идет речь, будут находиться в отдельной сети или VLAN от компьютеров домена, возможно, совместно используя Интернет через брандмауэр с несколькими физическими или виртуальными интерфейсами, или даже с отдельным выделенным брандмауэр и подключение к Интернету.

Если гостевая учетная запись пользователя является учетной записью Active Directory, почему бы вам не перейти к учетной записи пользователя в Active Directory, перейти в Свойства, перейти на вкладку «Учетная запись», нажать кнопку «Войти в ...» и ввести имена компьютеры, на которых вы собираетесь разрешить гостевому пользователю вход в систему?

Перед тем, как вы решите, как это реализовать, следует также учитывать соображения Тодда. Если у вас есть компьютеры, на которых есть общие ресурсы, настроенные для разрешений общего доступа и NTFS для всех разрешений Full, вам необходимо с этим разобраться.

Правильный способ иметь гостевой доступ в сети, отдельной от вашей производственной сети, - это иметь гостевую сеть в отдельной виртуальной локальной сети (VLAN), как указал Тодд.

Многие люди, кажется, думают, что разрешение гостевого доступа к их сети не имеет большого значения, и они могут просто щелкнуть выключателем и заставить его работать, но не предоставлять тем же гостям доступ к своей сети. Просто это работает не так. Планирование избавляет от многих головных болей, поэтому, если вы думаете, что вам может понадобиться предоставить гостям доступ в Интернет, но не допустить их в производственную сеть, вам следует уделить время правильному проектированию и разделению вашей сети с помощью виртуальных локальных сетей. Это не простая задача, но при правильной настройке две сети остаются разделенными, одновременно предоставляя обеим доступ к Интернету (или другим ресурсам, таким как принтеры или серверы).