Как закрыть доступ к домену компам не находящиеся в домене?

Question

[askes]

Добрый день,

Мне нужно закрыть доступ к домену, чтобы не доменные устройства не могли подключится к общим ресурсам, авторизоваться в впн.

Пробовал для начала закрыть доступ на NPS сервере, выставлял политику только для Domain Computers, но при подключение через доменный комп получаю ошибку авторизации. Использую L2TP с общим ключом и SSTP vpn.

Также нужно закрыть через обычно gpo, но не могу в политиках найти как реализовать.

Задача стоит в том, что нужно чтобы не доменные компы не могли войти куда-либо или подключится только по доменной учеткой, нужно обязательно быть в домене.

Comments

[Keffer]

если в домене компьютеры, то и так не авторизуется никто, кто не знает паролей от доменных учеток.

[aleks-th]

Ну собственно, кто не знает паролей, и у кого нет учетки в домене те и не зайдут.
Кто знает, подключатся к общим ресурсам по любому.

Авторизация в домене от компа(в домене он или нет) не зависит, там только учетные данные важны логин и пароль.

Answer 1

[Alexey Dmitriev]

Развернуть свой CA, выдавать всем доменным компьютерам сертификаты, которые по правам смогут получать только Domain Computers.
Настроить в NPS проверку по сертификату.