Hỏi/ Thắc mắc - Domain Win server 2016 | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

Adblocker detected! Please consider reading this notice.

We've detected that you are using AdBlock Plus or some other adblocking software which is preventing the page from fully loading.

We need money to operate the site, and almost all of it comes from our online advertising.

If possible, please support us by clicking on the advertisements.

Please add vn-z.vn to your ad blocking whitelist or disable your adblocking software.

×

Hỏi/ Thắc mắc Domain Win server 2016

Chào các Anh em.
Hiện tại mình có một số thắc mắc ở AD nhỏ của mình. Em dùng Winserver 2016. Cần sự giúp đỡ của Anh em.
Mình có 1 máy chủ AD A (domain XYZ.com)
Mình có 1 share File B đã join domain vào XYZ.com
Mình muốn các thiết bị không join domain sẽ không kết nối tới được Folder share của máy B cho dù có tài khoản User.
Hiện tại các máy khác không cần join domain, khi đã kết nối vào hệ thống mạng, kết nối đến địa chỉ share file. nhập XYZ\User của domain =>đều tri cập được folder share.
Mình cũng đã thử một số cách chặn nhưng không khả thi như:
- Lọc địa chỉ MAC=> fake địa chỉ MAC vẫn tri cập mình thường
- Lọc IP=> thay đổi IP vẫn vào vào bình thường.
Anh em có cách gì chia sẽ em với ạ,
Cá nhân em nghĩ sử dụng cái Domain Computer nhưng chưa biết cách dùng như thế nào!!
 
Sửa lần cuối:
này từ năm ngoái mình cũng vậy mà không nhớ coi hướng dẫn ở đâu, bác chờ mình tìm lại rồi share cho :D
 

secpol

Rìu Chiến Bạc
Chào các Anh em.
Hiện tại mình có một số thắc mắc ở AD nhỏ của mình. Em dùng Winserver 2016. Cần sự giúp đỡ của Anh em.
Mình có 1 máy chủ AD A (domain XYZ.com)
Mình có 1 share File B đã join domain vào máy A.
Mình muốn các thiết bị không join domain sẽ không kết nối tới được Folder share của máy B cho dù có tài khoản User.
Hiện tại các máy khác không cần join domain, khi đã kết nối vào hệ thống mạng, kết nối đến địa chỉ share file. nhập XYZ\User của domain =>đều tri cập được folder share.
Mình cũng đã thử một số cách chặn nhưng không khả thi như:
- Lọc địa chỉ MAC=> fake địa chỉ MAC vẫn tri cập mình thường
- Lọc IP=> thay đổi IP vẫn vào vào bình thường.
Anh em có cách gì chia sẽ em với ạ,
Cá nhân em nghĩ sử dụng cái Domain Computer nhưng chưa biết cách dùng như thế nào!!
Bạn chú ý set quyền trên folder share ở máy B là ok. Cho dù có nhìn thấy nhưng ko có quyền thì cũng chả làm gì được. User hay group được set trên folder share phải là user, group của domain chứ ko phải ở local.

Note: ở đây là máy B đã join vào domain xyz.com chứ không phải máy B đã join vào máy A. Máy A là máy Domain Controller, máy B là 1 member.
 
Bạn chú ý set quyền trên folder share ở máy B là ok. Cho dù có nhìn thấy nhưng ko có quyền thì cũng chả làm gì được. User hay group được set trên folder share phải là user, group của domain chứ ko phải ở local.

Note: ở đây là máy B đã join vào domain xyz.com chứ không phải máy B đã join vào máy A. Máy A là máy Domain Controller, máy B là 1 member.
đúng rồi Anh, Phần quyền User thì user có quyền mới thấy folder đó.
Nghẹt nổi, người đó có quyền folder đó nhưng họ mang máy cá nhân vào vào tri cập.
Muốn chặn cá nhân không tri cập được đó á anh.
 
Set phần quyền cụ thể trên folder share, user nào được phép truy cập trong AD. Mấy người khác nhìn thấy nhưng sẽ bị báo thôi.
cấm máy cá nhân tri cập đó Bác, Máy công ty thì cho phép sử dụng
 

secpol

Rìu Chiến Bạc
@langtuthangpro
Bạn cấp riêng cho các máy cá nhân đó 1 dải IP và dải đó chỉ ra internet, không truy cập vào tài nguyên nội bộ. Để làm việc này thì bạn phải làm tường lửa hoặc cấu hình router nội bộ. Các ngân hàng và những nơi cần bảo vệ tài nguyên họ thường làm vậy.
 
@langtuthangpro
Bạn cấp riêng cho các máy cá nhân đó 1 dải IP và dải đó chỉ ra internet, không truy cập vào tài nguyên nội bộ. Để làm việc này thì bạn phải làm tường lửa hoặc cấu hình router nội bộ. Các ngân hàng và những nơi cần bảo vệ tài nguyên họ thường làm vậy.
Họ là những người trong công ty, họ có lap công ty, họ vừa dung lap công ty đôi lúc dùng lap cá nhân đó Anh.
Laptop công ty thì xài wifi, và chắn chắn họ biết mật khẩu.
Đường truyền riêng thi không khả thi với tình hình thực tế như vậy á Anh,
 

secpol

Rìu Chiến Bạc
Họ là những người trong công ty, họ có lap công ty, họ vừa dung lap công ty đôi lúc dùng lap cá nhân đó Anh.
Laptop công ty thì xài wifi, và chắn chắn họ biết mật khẩu.
Đường truyền riêng thi không khả thi với tình hình thực tế như vậy á Anh,
Bạn sử dụng Group Policy áp dụng cho computer.
Server isolation
To isolate a specific server or servers, sensitive data, and associated clients, you use an Active Directory domain and domain membership to enforce the following network policy: specific server computers that are domain members accept authenticated and secured communications only from other domain member computers. This network policy isolates specific servers from non-domain-member computers. For example, to protect database traffic, you would configure and deploy server isolation Group Policy settings to require secured traffic between domain member client computers and their database servers. With server isolation, the isolated network consists of the server computers and domain member client computers, both of which belong to an Active Directory domain.
You can also create the following group-specific server isolation network policy: specific server computers that are domain members will accept authenticated and secured communications only from other domain member computers that are members of specific Active Directory security groups. Group-specific server isolation provides an additional layer of authorization and isolates specific servers from both non-domain-member computers and unauthorized domain member computers. Only an authorized domain member computer that has the business need can access the isolated server. With group-specific server isolation, the isolated network consists of the server computers and the group of authorized domain member client computers.
Bạn tham khảo thêm: https://docs.microsoft.com/en-us/pr...nd-2008/cc725770(v=ws.10)?redirectedfrom=MSDN

Đây là giải pháp rẻ tiền. Còn cao cấp hơn bạn vẫn phải sử dụng chia vlan và config như vên trên mình có nói. Muốn bảo mật data thì phải hy sinh sự thuận tiện và ngược lại
 
Bạn sử dụng Group Policy áp dụng cho computer.

Bạn tham khảo thêm: https://docs.microsoft.com/en-us/pr...nd-2008/cc725770(v=ws.10)?redirectedfrom=MSDN

Đây là giải pháp rẻ tiền. Còn cao cấp hơn bạn vẫn phải sử dụng chia vlan và config như vên trên mình có nói. Muốn bảo mật data thì phải hy sinh sự thuận tiện và ngược lại
Group Policy áp dụng cho computer.
mà em chưa biết làm Policy như thế nào đây nè Anh.
Với lại có ai làm được chưa á Anh, EM cũng thử vài cách mà không khả thi hết.
 


Top