Dominio y usuarios

Que tal gente, vengo nuevamente a presentar dudas.
Comienzo diciendo que tengo los servicios de Active Directory, DNS y DHCP estan habilitados y configurados correctamente (por ahora funciona todo bien). La necesdad de mi consulta es que quiero que los usuarios que no se autentican en el dominio no reciban la la configuracion DHCP, o a lo sumo, poder configurar estos equipos.
Gracias y espero haber sido claro.-
11 years, 11 months ago
Me parece que con AD no vas a poder hacer eso, ya que para autenticarte al dominio, tenes que tener ip…
Vas a tener que implementar algo tipo 802.1x, pero eso es a nivel de layer 2 (switch) y necesitarías que el switch soporte este protocolo y ademas implementar un server con Radius (o diameter).
A qué te referis con “o a lo sumo, poder configurar estos equipos.”
11 years, 11 months ago
El tema es que la configuracion del DHCP se recibe mucho antes de que el usuario se intente autentificar.
Fijate que cuando un equipo se prende (si no hay firewall en el medio o algo que lo impida), ya podes hacer un Ping antes que el usuario pueda validarse. Eso es porque el equipo ya negocio con el DHCP server el numero de IP.
Se me ocurre que lo que podrias hacer es configurar IPsec para que el server DHCP solo hable con equipos que tienen IPSec configurado previamente con un certificado. Después en la red configuras otro DHCP con un tiempo de respuesta más largo para que si un equipo no encuentra al primer DHCP (porque no tiene el certificado para usar IPSec en tu dominio), encuentra el segundo y se configura con ese equipo.
Espero te sirva
11 years, 11 months ago
martinm, la idea principalmente es que tome las politicas de grupo de AD (para los usuarios autenticados en el dominio-las cuales estan configuradas para salir por proxy, no ejecutar ni instalar aplicaciones ajenas, etc) para todos los equipos que no esten en dominio.
Rex2002, voy a tratar de deducir lo que dijiste jeje, decis que habilite 2 servicios dhcp diferentes? con las mismas configuraciones?
11 years, 11 months ago
ehhh, no soy un especialista en AD (de hecho, no toco nada de eso desde hace casi 10 años, cuando salio win2000) pero como vas a aplicar a politicas a equipos que no controlas?
lo que deberías hacer es, si no estas en el dominio, no podes salir a internet (un firewall habilitaría que solo las conexiones proxificadas salgan a internet) y en lo posible que ni siquiera tengan IP.
En mi opinion, lo recomendable sería que pongas 802.1x
La idea sería que, al conectarse a la red, el usuario se autentica por 802.1x al AD (el radius, que autentica el puerto del switch, se conectaria al AD para verificar user/pass), así obtiene acceso al DHCP y de ahi se vuelve a autenticar en el AD.
11 years, 11 months ago
Si tu idea es solamente para las politicas grupales, create unidades organizativas y pones ahi los usuarios del dominio, y por supuesto creas la politica sobre esa UO unicamente… el tema es si un equipo no esta en el dominio, no vas a poder aplicarle politicas de grupo desde el AD, vas a tener que hacerlo a la PC directamente por el gpedit..
11 years, 11 months ago
emiliano666
Rex2002, voy a tratar de deducir lo que dijiste jeje, decis que habilite 2 servicios dhcp diferentes? con las mismas configuraciones?
Misma configuracion?!?!? Nop! Como dijiste..
“a lo sumo, poder configurar estos equipos. ”
Creia que querias configurar los equipos que no son del dominio con otra configuracion de IP.
Si usas IPSec, solo los equipos miembros del dominio van a poder obtener direccion DHCP, el otro server es para los equipos que no pueden conectarse con el DHCP de tu dominio (o sea… los que esta fuera). También tenes que crearte una CA para dar certificados internamente.
Ahora… si lo que queres es que no le de IP para que no pueda acceder a internet un equipo que no esta en el dominio, prohibir la posibilidad de navegar por IP no es una solución, es un parche.
11 years, 11 months ago
Perdon por la demora, recien hoy tengo tiempo de estar sobre este tema nuevamente.
A ver, tendria que autenticar por 802.1x o IPSec ? No conozco bien la diferencia, uno se configuracon politicas y otro con credenciales? Muchachos, estoy en la lona ja. Voy a seguir buscando info de como configurar cada uno de estos.
La idea principalmente, es que los usuarios que no son del dominio, no tengan acceso a internet ni a la intranet por ende. Gracias nuevamente.-
11 years, 11 months ago
hola, mirá, son 2 cosas distitnas. 802.1x controla el acceso a nivel del puerto.
Si el usuario no esta habilitado, el puerto no levanta.
Obvio, tenes que tener un switch que lo soporte e instalar un server de radius (tal vez el radius lo podes tener en el mismo controlador de dominio)
11 years, 11 months ago
emiliano666
La idea principalmente, es que los usuarios que no son del dominio, no tengan acceso a internet ni a la intranet por ende. Gracias nuevamente.-
Entonces mucho mas fácil !
Pone un proxy en la red, configuralo para que solo usuarios del dominio puedan salir por ahí (Si el usuario no es del dominio, no va a poder salir aunque se configure el proxy manualmente). Claro que para no ir PC por PC, tenes que crear una GPO para que le configure a los que si son usuarios, que usen ese Proxy.
Para la Intranet es mas simple!!! Modifica los permisos NTFS o del directorio virtual para que solo los usuarios del dominio puedan acceder. (Cuidado porque si es el mismo site que se accede desde Internet, los usuarios de Internet puede que no entren segun como lo configures).
11 years, 11 months ago
 

Buscar mensajes