Bonjour,
 
Je voudrais que les dossiers partagés des serveurs 2003 soient uniquement accessible à partir d'un poste appartenant au domaine Windows.
 
J'ai essayé de restreindre l'accès au partage avec le groupe "Ordinateurs du domaine" mais ça ne marche pas.
 
Quelqu'un à une idée de comment faire ?

Je crois que j'ai trouvé la réponse à ma question, comme ça peut intéresser du monde : IPSEC permet de faire ça.

Bien si tu fais tes shares en changeant "everyone" par "authentificated users", seul les membres authentifiés de ton domaine auront accès

Oui mais ça ne suffit pas. Je veux qu'on ne puisse se connecter qu'à partir d'un PC du domaine.

Corriger si je me trompe, mais un accès share se fait sur base d'un user. Si tu as un user du domaine, tu peux te connecter sur le share, et ce même si le pc lui meme n'est pas dans le domaine.
Dans tes droits au share, tu ne mets que des user ou groupe de user.
 
Via policy c'est ptetre possible (qqun?)
sinon blinde ton réseau pour empecher les pc ne faisant pas partie du domaine d'y accéder

Comme l'indique booster, les droits d'accès d'un partage sont gérés avec des utilisateurs (ou groupes) et non pas des ordinateurs.  
 
Fliter les ip via ipsec ou un firewall peut te convenir mais n'est pas une solution optimale en terme de sécurité puisqu'une adresse IP n'est pas infalsifiable (il est facile de changer l'adresse MAC et mettre l'IP en dur sur un autre PC ...)
 
 

En effet j'ai regardé côté IPSec et ça n'aide pas vraiment.
 
Qu'est ce que tu conseilles alors ?
 
Parce qu'on peut avec un PC hors domaine se connecter à un partage serveur en utilisant un login du domaine. Niveau sécurité c'est pas ça du tout.

 
Bien normalement tout le monde n'a pas accès à ton réseau (je suppose), et si il est en possession d'un user du domaine, c'est qu'il fait partie de ta boite. A partir de la en quoi est ce genant?
Du moment que c'est un user autorisé, il n'y a pas de problème.
Ton problème c'est quoi? que qqun sorte les données? si il le fait avec un domain user, il en a le droit.
tout comme je peux avec mon pc du domaine envoyer un mail avec un fichier prit sur un share à un inconnu.
 
Tu as un but particulier?
Sinon cela se résume au fait que qqun à les droits d'accès au share et les utilise. Pc du domaine ou pas n'est pas vraiment la question pour moi.

Le problème c'est que n'importe quel PC peut se connecter au réseau local et donc accéder aux partages. Si je pouvais interdire l'accès aux partages aux portables en Windows XP SP1, bourrés de virus / spywares je serai plus tranquille !
 
Un PC qui est dans le domaine Windows est quand même plus sûr grace à la GPO.

A partir du moment ou tu utilises un DHCP, n'importe quel pc peut recvoir une adresse. A ce moment la, on est en layer 2 et donc la consideration de domaine n'est pas la. Tu ne peux empecher un pc de recevoir une ip donc, mais tu peux uniquement faire des lease sur des mac address...pas très pratique mais bon.

Donc pas de solution ? C'est quand même un besoin basique pour la sécurité du réseau il me semble...

Pas directement, vu que tu cherches à contourner le but de la techno que tu utilises.

ci tu veu bloquer des pc sous un OS spécifique , ....... , install 2008 serveur il le fait tres bien ....

Euh non.
 
 
Pour faire ce que tu veux faire il y a 2 moyens :
802.1x ou IPsec (avec certifs ou kerberos peut importe)
 
Après la remarque sans détails de K11-thibo peut être intéressante puisqu'il sagit de NAP qui restreint l'accès au réseau aux seules machines en bon état de santé (antivirus and co). Cependant c'est supporté sur les clients que à partir de xp sp3 et vista. Sinon en 802.1x tu peux limiter en fn de l'user, de la machine, de l'os etc.

Un pti UP sur cette question, car cela m'interesse
 
J'ai des utilisateurs qui se connecte sur des site distant avec leur machine perso. Chose que l'on interdit, mais que l'on ne peut controler ^^
 
Je souhaite interdir l'accès au réseau à toute machine n'étant pas membre du domaine.
Afin de s'assurer que les utilisateurs utilise du matériel de l'entreprise

Bonjour,  
 
Je voudrais savoir si vous aviez trouvé une solution à votre problème car je voudrais également éviter une connexion à partir d'une machine hors domaine?  
 
Merci d'avance.