Как раздать DHCP отдельной группе пользователей AD DS?

Question

[blazhenny]

Есть Windows Server 2012 R2. На нем развернут AD DS с двумя группами пользователей (1 и 2). Также развернут DHCP-сервер, с настроенной областью.

Нужно чтобы DHCP раздавал адреса только на группу пользователей 1, а 2-я группа пользователей соответственно DHCP-раздау не получала.

Comments

[Valentin Barbolin]

какая конечная цель сего мероприятия?

[Роман Безруков]

можно поиграться с DHCP User Class и DHCP Policy, а потом через GPO (с ipconfig /setclassid) назначать определенной группе AD нужный Class ID

Answer 1

[mikes]

первый вариант - разделите сеть на vlan согласно логической структуре. настройте соответственные области в dhcp

второй вариант (более сложный, но отвечающий вашим требованиям) настройте на коммутаторе 802.1x и выдавайте vlan и тд динамически на основе политик radius (ms ias) примененным к определенным группам в AD

Answer 2

[Rsa97]

DHCP в локальной раздаёт адреса не пользователям, а устройствам. Чтобы пользователь смог пройти аутентификацию с какого-то устройства, оно должно быть в сети, а значит ему уже должен быть выделен IP-адрес.

Comments

[blazhenny]

Выдать статический IP-адрес не проблема, чтобы компьютер зашел в домен. Важно, чтобы выдавалась DHCP-область только определенной группе пользователей домена.

[Rsa97]

blazhenny, Если компьютер уже получил IP-адрес, то ему без разницы, какой пользователь на нём залогинился. Повторного запроса адреса не будет.

Answer 3

[Вася Пупкин]

1. Это делается на уровне коммутации, разные vlan. Запретить одному на конект в сеть дхцп и все.
2. Если делать на ДХЦП то только запрет на устройства а не пользователей. Через фильтры WMI на дхцп пуле, который адреса выдает.