SSL требует одного IP на vhost с более старыми браузерами, так наличие нескольких IP-адресов позволяет Вам размещать несколько сайтов HTTPS.
Несколько дюйм/с мог также сделать управление трафиком легче в зависимости от того, как Вы выделяете имена/сервисы DNS между ними. Вы могли помочь переместить сервис в другую машину или применить ratelimit/firewall ко всего одному IP.
Это - одна из тех интересных областей, которые не соответствуют примеру использования, о котором Microsoft думала с операционной системой Windows.
Полномочия NTFS не имеют никакой функциональности связанной с присваивающимся разрешением на основе компьютера, к которому это получает доступ кроме очень грубого приближения с помощью "ИНТЕРАКТИВНЫХ" или "СЕТЕВЫХ" известных идентификаторов безопасности (SIDs). Пользователь, получающий доступ к конкретному ресурсу, используется в решении контроля доступа, независимо от компьютера, от которого была получена попытка доступа.
Если Вы захотите "фиксацию" на основе Групповой политики, то я предложу ужасное обходное решение. Это является субоптимальным, но это выполнит то, что Вы ищете. (Это очень быстро и грязно. В частности, это - действительно не хорошая форма для засовывания GPOS наверху домена без разбора, потому что в целом Вы хотите, чтобы самое маленькое количество GPOS относилось к данному компьютеру или пользователю для ускорения приложения Групповой политики.)
Создайте глобальную группу безопасности, названную, скажем, "Чувствительные Учетные записи компьютера" в Active Directory. Сделайте все учетные записи компьютера, где "Чувствительный" доступ будет выполненными членами этой группы.
Создайте глобальную группу безопасности, названную, скажем, "Чувствительные Учетные записи пользователей" в Active Directory.
Создайте учетные записи дополнительного пользователя в Active Directory для всех людей, которые будут выполнять "чувствительные" операции. Сделайте всех этих членов учетных записей пользователей "Чувствительных Учетных записей пользователей" группой.
Создайте и свяжитесь, GPO наверху Active Directory, названного ", Ограничивают Чувствительные Входы в систему Учетной записи пользователя". В этом GPO направляйтесь в "Конфигурацию компьютера", "Windows Settings", "Локальные политики", и "Пользовательское Присвоение Прав". Найдите, "Отклоняют вход в систему локально" (и, если Вы являетесь так склонными и параноидальными, "Отклоняют вход в систему как услуга", и "Отклоняют вход в систему как пакетное задание"), установка, и добавьте "группу" Учетных записей пользователей DOMAIN\Sensitive к установке. (Это предполагает, что Вы не используете ни одной из этих политик в настоящее время на более низких уровнях AD. В Active Directory запаса в W2K-W2K8 это было бы верно.)
Измените полномочия, "Ограничивают Чувствительные Входы в систему Учетной записи пользователя" GPO путем добавления, что "Чувствительные Учетные записи компьютера" группа с "Отклоняют / Применяют Групповую политику" разрешение.
Примените полномочия NTFS к папкам, где "Чувствительные" файлы хранятся, чтобы позволить только членам "Чувствительных Учетных записей пользователей" групповой доступ. (Это - осуществление, оставленное до плаката...),
Это заставит "Чувствительные Учетные записи пользователей" мочь войти в систему локально только к компьютерам, которые называют в "Чувствительных Учетных записях компьютера" группой. Таким образом можно предотвратить доступ к папкам, содержащим "Чувствительные" файлы, потому что Вы установите полномочия ограничить доступ к этим папкам только к "Чувствительным Учетным записям пользователей" (который может только войти в систему к "Чувствительным Учетным записям компьютера" компьютеры.)
Наличие вторичных счетов на пользователей действительно, действительно ужасно. Так как Вы хотите сделать что-то, что Microsoft не разработала операционную систему для, однако, необходимо сделать что-то ужасное для обхождения встроенных ограничений.
Другой, все еще потенциально ужасное, но осуществимое решение, должен был бы разместить эти совместно используемые папки с сервером Samba. Samba, с помощью "хостов позволяет" параметр конфигурации, действительно имеет механизм для ограничения доступа к совместно используемым папкам и на основе разрешения пользователя и на основе исходного компьютера, из которого прибывает доступ. Если Вы не в наличие *, отклоняют - базирующееся заседание сервера (фактически, возможно), хотя, эта альтернатива делает Вас мало пользы.
Это. Необходимо взглянуть на ACLs. Это Списки управления доступом для файлов и каталоги. Они - дополнительный слой разрешения сверху стандартных полномочий файла Unix.
Вы используете Групповые политики? Можно установить полномочия NTFS для групп, использующих групповые политики (GPOS), и затем просто применить тот GPO к определенному AD OU.
Где эти папки на компьютерах в комнате или на серверах в Вашей сети где-нибудь?
Посылка № 1 | Ограничивает доступ к сетевым ресурсам
"определенные папки" - я предполагаю, что эти папки являются сетевыми ресурсами, и что Вы не хотите, чтобы у пользователей машин в OU был доступ к этим (общим) папкам. То есть "группа" здесь определяется теми, которые имеют физический доступ к компьютерам в комнате, как пользователи в публичной библиотеке или чем-то.
В этом случае...
Вы делаете его неправильно
Обычный метод должен ограничить доступ к группам пользователей, а не машин, как это редко, что машины (которые имеют их собственные учетные записи в AD) файл доступа совместно используют acoss сеть. Случаи, где они действительно включают долю SYSVOL, где GPOS находятся, или устанавливают доли для присвоенных приложений.
Посылка № 2 | Ограничивает доступ к локальным папкам
"определенные папки" - здесь я предполагаю, что эти папки находятся в локальной файловой системе каждого компьютера. Возможно, существуют некоторые файлы в C:\Install\
то, что Вы не хотите пользователей, копирующих в их карты с интерфейсом USB, например.
Групповая политика допускает политики файловой системы,
Edit GPO > Computer Configuration > Windows Settings > Security Settings > File System
Сначала добавьте папку C:\Install
, затем выберите Properties и измените полномочия NTFS отклонить (или не включать) пользователи, которых Вы хотите заблокировать. Тест сначала. Много. Я не уверен, но я думаю, что Вы будете перезаписывать (не добавляющий к) NTFS permissons, Отклонить, пригождается здесь.
Можно также скрыться целый, проезжает Групповая политика, которая была бы полезна, если бы Вы сохранили свои ограниченные файлы на D:\, то пользователи не видели бы диск - я не уверен, насколько устойчивый это, но это популярно в средах SoftGrid и терминальном сервере.
Локально зарегистрированного пользователя звонят INTERACTIVE
, между прочим. И это имя пользователя локализуется, если Ваша ОС не является английской.
Ограничение компьютерами просто не походит на прекрасную идею. Я отчасти получаю то, чего Вы хотите достигнуть, и - если я угадываю - я думаю, что у Вас есть некоторые уязвимые данные (как записи HR или подобный), что Вы хотите окончательно заблокировать вниз соответствующему штату, даже если это вплоть до блокировки Ваших администраторов из него.
Я думаю, что нам действительно нужно больше информации о том, что Ваша цель здесь, и я думаю, что отстранение и фокусирование на том, чего Вы хотите достигнуть, а не как Вы хотите достигнуть его, могли бы быть полезным осуществлением.
Если я прав в своем предположении, также необходимо думать о дальнейших последствиях выполнения этого, с точки зрения того, как оно собирается вмешаться в резервное копирование и восстановление, и с точки зрения того, кто теперь собирается управлять доступом к этим папкам.
Это кажется, что Вы сегментировали бы сеть и заблокировали бы такой трафик отовсюду кроме из позволенных комнат...
Если людям, входящим в систему за пределами OU do not, нужен доступ для чтения к папкам, можно настроить сетевой диск, который только отображается, когда кто-то входит в компьютер w/in OU. Это не будет препятствовать тому, чтобы другие добрались до него, если они будут знать путь UNC, но если Ваши пользователи будут похожи на наших, то это добьется цели. Это также зависит от рассматриваемых папок не быть вложенным в других частях Ваших долей файла, до которых должны добраться нормальные люди.
ETA:
Доступ в комнату, ограниченную таким способом, которым Вы могли использовать тот список для ограничения сетевого ресурса?