Bonjour,

Quelles solutions sont envisageables pour n'autoriser l'authentification sur le domaine que pour des postes définis ?

Exemple : autoriser les users à ouvrir une session sur le domaine à partir de leur poste de travail mais pas de pouvoir accéder aux partages réseaux à partir d'un portable perso à l'aide de leur login/mdp ?

En gros : interdire l'accès à toutes ressources des serveurs (ad, partages, exchange, ...) pour des postes hors-domaine où ne satisfaisant pas certains critères (MAC address autorisée par exemple)

Merci

IPsec, 802.1x ?

Je vois que le 802.1X qui peuy faire ca. Car a partir du moment ou ils-on un accès login/password, il ont leur droit depuis n'importe quel ordi.  
 
Sinon, j'ai jamais testé, mais peut-etre au niveau des droits attribués au "computer" au lieu des groupes ou users. Ainsi opn pouurait limité l'accès uniquement au machine du domaine et pas celle qui ne sont pas intégré... A voir. Jamais essayé !

Isolation de domaine en IPsec fait ça très bien mais c'est complexe

im me semble que dans l'AD tu peux forcer un user sur un computer... à vérifier

Filtrer sur les adresses MAC ? Tu vas t'amuser !

Si ton domaine est geré par Active Directory (ce qui a l'air dêtre le cas), seules les machines membres du domaine peuvent se connecter.
Car dans l'AD, il faut autoriser non seulement l'utilisateur, mais aussi les machines.
 
Maintenant des machines, qui n'ont rien à faire dans le domaine, arrivent à se connecter tout de même, c'est que les règles de sécurité ont été mal faites.
En 1er lieu, voir qui est membre du groupe (je ne me souviens pas du nom exact) gérant l'entrée des machines sur le domaine et n'autoriser que des administrateurs.
Sinon vérifier que tu n'a pas une règle permettant à n'importe qui d'entrer une machine sur le domaine.
 
Aller dans l'OU computer et vérifier les postes 1 par 1.

Je@nb & hyperman22 : je vais m'intéresser à 802.1X. Si vous avez des infos en + dessus, je suis preneur. Merci
 
bartounet16 : tout à fait mais ce n'est pas ce que je recherche.
 
shinmaki : c'était un exemple. Vu que le spoof d'adresse MAC est aisé, ce n'est pas le critère auquel je m'attacherai en priorité.
 
akabis : par défaut, à moins que j'ai loupé un truc (et là un gros quand même), sur tous les domaines que j'ai installés et ceux des autres, une machine hors domaine peut ouvrir un partage sur serveur dans le domaine à partir du moment où l'user renseigne un login/mdp du domaine (et ou ce compte ou le groupe auquel il appartient est autorisé à accéder au partage bien sur).
C'est justement une des choses que j'aimerai éviter.
 
C'est à dire qu'en plus d'une authentification LDAP pour accéder aux serveurs du domaine (partages, impressions, exchange, ...) il y ait une vérification que la machine de l'user est bien dans le domaine ou qu'elle possède une caractéristique précise (@MAC, certificat, etc.)

voir sur le technet mais je suis sure de ce que j'avance.
Par defaut, une machine non déclaré (et donc non autorisée) dans l'AD ne peut obtenir un ticket de la part du DC et donc se connecter au domaine.

NTLM est là

pour s'identifier dans l'AD il faut un compte user valide + une machine autorisée sur le domaine.
 
Pb de droit sur l'AD par un mauvais parametrage
 
Je vous renvoie au technet ou au MOC

On parle pas de s'authentifier dans l'AD (logon interactif).

Essaie ce que dit Shongail et tu verras ça marche (et heuresement dans mon cas), si ça t'enchante vraiment amuse toi à décortiquer ce qui se passe

Bonjour,
 
Je voudrais savoir si vous aviez trouvé une solution à votre problème car je voudrais également éviter une connexion à partir d'une machine hors domaine?  
 
Merci d'avance.

Du NAP, mais c'est très lourd et récemment déprécié par Microsoft.

Et à partir des GPO? Vous n'avez rien essayé? Mon but étant d'interdire la connexion au domaine à partir des machines hors domaine. En quelque sortes un domaine isolé de l'entreprise. Ainsi un utilisateur du domaine ne pourra pas se connecter à celui-ci avec des machines hors du domaine.  
 
Je me suis aperçu qu'avec des stratégies locales on pouvait introduire cette règle mais n'es toujours pas trouvé la solution.