Среда: один домен AD, который не управляется локальными администраторами (не может редактировать, не может добавлять объект групповой политики и т. Д.). Здесь есть учетные записи пользователей. Назовите эту альфа-версию AD. Эта альфа-версия AD имеет доверие к локальному домену AD (назовите его Zeta), который администрируют местные администраторы. Содержит учетные записи компьютеров. Имеет доступные сетевые ресурсы
Цель: установить разрешения для общих сетевых папок AD Zeta, используя учетные записи пользователей AD Alpha и компьютерные учетные записи AD Zeta для доступа к папкам.
Причина: убедиться, что когда пользователи, использующие учетные данные от Alpha, получают доступ к общему ресурсу на Zeta, они могут сделать это только в том случае, если они также получают доступ к этому общему ресурсу с машины, которую они обычно использовали бы в рабочее время.
Пример: Пользователь A вошел в систему с компьютера A = предоставить доступ Пользователь A вошел в систему с компьютера B = нет доступа
Пользователь B вошел в систему с компьютера B = предоставить доступ Пользователь B вошел в систему с компьютера A = нет доступа
Я не верю, что есть какой-либо способ сделать это, как вы описываете, с помощью собственных инструментов. Разрешения NTFS (и общего ресурса) назначаются пользователю, а не компьютеру, с которого исходит сетевой сеанс пользователя. Вы можете использовать IPSec или брандмауэр Windows на своем сервере Zeta, чтобы разрешить трафик CIFS только с компьютера A, но тогда никакие другие компьютеры не смогут подключиться к Zeta вообще.
Я думаю, тебе в первую очередь не повезло. И было бы большой проблемой, если бы компьютер A был повторно отображен, получил новый динамический IP-адрес или был просто выведен из эксплуатации. Почему вы боитесь компьютера Б? Обычно это уже должно быть в домене Alpha. И поскольку вы в любом случае разрешаете все виды сетевого трафика между доменами (я предполагаю, что они совместно используют локальную сеть?), Вы на самом деле не препятствуете чему-либо своей запланированной схемой, к которой вы в любом случае не были бы уязвимы.