登录

Microsoft.com

Microsoft

Remove From My Forums

基于机器所属域来限制对于共享的访问可行吗？

问题
0

登录进行投票

公司网络是域结构组织的tianjin域和soft域（没错，两单标签域）之间作的双向信任。服务器和用户都在tianjin域里，客户机都加入的soft域。

我的server 2003 r2作为文件服务器放在tianjin域里，共享权限设定都是基于用户名的。可是存在一个风险：如果某员工把一台个人笔记本接入我的局域网，访问2003上的共享时使用他个人的域帐号，那么就会造成资料外泄。

我想的是能否让我的server 2003 r2上的共享只从允许soft域里面来的访问而禁止非该域下机器的共享访问？

2012年10月11日 8:06

回复

|

引用

答案

0

登录进行投票
08的话可以结合NAP来变相实现。大概思路是这样的，需要颁发一个证书给你想要授权的客户端，然后配置成NAP IPSec强制方式，NAP系统会检查到有相应证书的计算机才能允许它接入到正常网段，访问服务器资源。由于域的关系，这个客户端证书你可以通过配置自动注册等方式来批量发布给域内用户。

面帶微笑，春暖花開
- 已标记为答案 Tom Zhang – MSFTModerator 2012年10月24日 1:14
2012年10月12日 6:44

回复

|

引用

版主

全部回复

0

登录进行投票

你好，在03环境中我能想到的方法只有使用IPsec做服务器或域隔离达到你的目的。

请参考：http://technet.microsoft.com/en-us/library/cc163159.aspx
面帶微笑，春暖花開

2012年10月11日 11:29

回复

|

引用

版主
0

登录进行投票

看您的说法server 2008当中能有什么好办法么？

2012年10月12日 5:04

回复

|

引用
0

登录进行投票
08的话可以结合NAP来变相实现。大概思路是这样的，需要颁发一个证书给你想要授权的客户端，然后配置成NAP IPSec强制方式，NAP系统会检查到有相应证书的计算机才能允许它接入到正常网段，访问服务器资源。由于域的关系，这个客户端证书你可以通过配置自动注册等方式来批量发布给域内用户。

面帶微笑，春暖花開
- 已标记为答案 Tom Zhang – MSFTModerator 2012年10月24日 1:14
2012年10月12日 6:44

回复

|

引用

版主
0

登录进行投票

08没有接触过，不是很明白您说的这个方法。但是还是先记下这个思路，有机会我再试试看吧。谢谢。

2012年10月12日 9:11

回复

|

引用