none
如何让AD用户不登录到AD环境下无法访问AD服务器共享文件?

    问题

  • 例如在AD服务器上面对AD用户123限制了计算机名称为ABC

    那么我随便找台电脑,把计算机名称改为ABC是不是就可以用123访问AD共享的文件了?

    根本就不用把客户机加到域内。

    那么问题来了,如果这么就可以访问文件的话,那对域用户的权限限制都无效了,例如开机脚本、USB限制之类的。

    那该如何有效地解决这个问题?如何让此AD用户不登录到AD环境下无法访问AD服务器共享文件?

    2017年3月20日 9:46

全部回复

  • 参考了用IPSEC与组策略实现服务器和域隔离,未能成功解决此问题。

    为AD和客户端都添加组策略:计算机配置-策略-Windows设置-安全设置-高级安全Windows防火墙-连接安全规则-新建规则-隔离-入站和出站连接要求身份验证-计算机(Kerberos V5)-域-起名和描述-完成。

    通讯加密:计算机配置-策略-Windows设置-安全设置-高级安全Windows防火墙-属性-IPSec设置-IPsec默认值-自定义-数据保护-高级-自定义-要求所有使用这些设置的连接安全规则使用加密-确定


    BMW.CTO


    • 已标记为答案 BMWCTO 2017年3月21日 6:52
    • 取消答案标记 BMWCTO 2017年3月21日 17:07
    • 已编辑 BMWCTO 2017年3月21日 17:07
    2017年3月21日 6:52
  • 您好,
    您可以把Everyone组权限从共享文件的共享或者NTFS权限中移除,给域用户组和域电脑组合适权限来测试一下看看是否可行。
    据我所知,电脑账号也和用户账号一样,我们可以在共享文件上添加或者修改电脑的权限,您可以在添加电脑权限是,在搜索相应的电脑组时,在对象类别中勾选电脑选项:

    谢谢
    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年3月21日 7:00
    版主
  • 您好,
    您可以把Everyone组权限从共享文件的共享或者NTFS权限中移除,给域用户组和域电脑组合适权限来测试一下看看是否可行。
    据我所知,电脑账号也和用户账号一样,我们可以在共享文件上添加或者修改电脑的权限,您可以在添加电脑权限是,在搜索相应的电脑组时,在对象类别中勾选电脑选项:

    谢谢
    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    你这样的仍然不可行。

    方法我已经找到了。(参考二楼)

    谢谢你的回复。

    现在有个特殊情况,那就是文件服务器就在主域控制器上,也就是说它们俩是同一个IP,这样就不好办了。

    当我把DNS/DC的IP(就是域控的IP)添加到不需要身份验证的时候,还是成了任何人都可以访问。


    BMW.CTO


    • 已编辑 BMWCTO 2017年3月21日 17:09
    2017年3月21日 7:18
  • 当我参照:http://www.51cto.com/php/viewart.php?ID=276606

    此步骤的过程中发现其文件服务器DC/DNS是另一个IP,而为DC新建例外策略中只是让membersrv的IP例外,并没有让DC/DNS的IP例外,所以是有效的。

    但当前本人的案例中,文件服务器DC/DNS和membersrv是同一个IP,该如何处理?



    BMW.CTO



    • 已编辑 BMWCTO 2017年3月22日 5:29
    2017年3月21日 17:15
  • 您好,

    一般来说,除了DNS角色之外,我们不建议在域控制器上安装其他服务器角色。

    在我看来, 如果您域环境里有其他的可用的成员服务器,我建议您把文件服务器角色从域控制器上迁移出来,然后再尝试一下您原来的解决方案。

    谢谢

    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年3月24日 1:31
    版主
  • 您好,

    一般来说,除了DNS角色之外,我们不建议在域控制器上安装其他服务器角色。

    在我看来, 如果您域环境里有其他的可用的成员服务器,我建议您把文件服务器角色从域控制器上迁移出来,然后再尝试一下您原来的解决方案。

    谢谢

    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    那我将会新购一台服务器。

    另外,如果把VHDX文件挂在另一台虚拟机上面当文件服务器,里面的文件权限会有变化吗?(文件太多,不能轻易尝试)


    BMW.CTO

    2017年3月24日 3:10
  • 您好,
    据我所知,共享权限可能会有变化,NTFS权限不会变。
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年3月27日 1:58
    版主
  • 您好,
    据我所知,共享权限可能会有变化,NTFS权限不会变。
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    我已经测试过了,确实如您所言。

    我还是想想如何不迁移文件服务器做到这一点吧。

    经过这些天的调试发现可能是IPSec设置不太对。


    BMW.CTO

    2017年3月27日 2:57
  • 您好,

    好的, 不过问了保证域控服务器更好的正常运行, 我们还是建议您在条件允许的情况下,把域控服务器上的其他角色迁出来。

    另外,如果上述回复对您的问题有所帮助,您可以标记他们为答复。

    谢谢

    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年3月29日 8:12
    版主
  • 您好,

    好的, 不过问了保证域控服务器更好的正常运行, 我们还是建议您在条件允许的情况下,把域控服务器上的其他角色迁出来。

    另外,如果上述回复对您的问题有所帮助,您可以标记他们为答复。

    谢谢

    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    我想知道Kerberos是走的哪些端口或协议?我把它的端口或协议开放,然后把SMB协议设置成先通过Kerberos认证,再通过。不就可以达到目的了?

    BMW.CTO

    2017年3月29日 8:30
  • 您好,
    据我所知,Kerberos主要是用UDP协议,但是对于大的Kerberos票据,会使用TCP协议。
    具体的端口,您可以参考下面的文章:(仅英文版)
    https://uit.stanford.edu/service/kerberos/firewalls
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年3月31日 8:56
    版主
  • 您好,

    请问您的问题解决了吗?如果上述回复对您的问题有所帮助,您可以标记他们为答复。
    如果您有自己的解决方案,您可以把经验和解决方案分享给我们。它将非常有益于其他社区有类似的问题的人。
    谢谢
    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年4月4日 6:17
    版主